[발췌] 보안뉴스 http://www.boannews.com/media/view.asp?idx=50090
MBR 영역을 변조하는 ‘PETYA’ 랜섬웨어 등장
국내 감염사례 아직 없지만 유입 가능성 높아
충분히 복구 가능... 다른 랜섬웨어보다 위험도 낮아
[보안뉴스 권 준] 최근 들어 각종 랜섬웨어 변종이 기승을 부리는 가운데 지난 25일부터는 PC의 MBR(Master Boot Record) 영역을 변조하는 신종 랜섬웨어 ‘PETYA'가 발견돼 비상이 걸렸다.
▲PETYA 랜섬웨어가 MBR 영역을 변조한 후 최초로 띄우는 해골 이미지 화면(자료: 알약 블로그)
-------------------------------------------------중 략----------------------------------------------------------
또한, 해당 랜섬웨어는 주로 이메일 첨부파일을 통해 드롭박스를 경유해서 유입되는 형태를 띄고 있는 것으로 분석됐으며, 일단 감염되면 MBR 영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능한 것으로 알려졌다. 감염되면 몇분 이내로 시스템이 강제 재부팅된다.
알약 블로그에 따르면 MBR 영역을 변조한 후 최초로 해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬메시지가 뜨게 된다.
▲PETYA 랜섬웨어가 띄우는 랜섬메시지(자료: 알약 블로그)
랜섬메시지에서는 토르 브라우저를 이용한 특정 URL접속을 유도하는 데, 해당 주소로 실제 접근하게 되면 먼저 캡챠코드 인증 단계를 거친 후 복호화키 입력을 유도하는 것으로 알려졌다. 현재 영어, 러시아어, 독일어, 스페인어, 프랑스어, 포르투칼어, 이탈리아어, 폴란드어, 터키어, 네덜란드어 등 10개국 언어로 메시지를 띄우고 있는 상황이다.
앞서도 언급했듯 ‘PETYA’ 랜섬웨어는 실제로 강력한 암호화 방식을 사용하기보단 간단한 연산만으로 원본 코드를 인코딩하고 있으며, 이 데이터는 MBR의 특정 영역에 저장하고 있어 간단히 복구가 가능하다는 게 보안전문가들의 분석이다. 하지만 정상적으로 부팅이 되지 않아 치료에 어려움을 겪을 수 있으므로 애초에 감염되지 않도록 예방에 만전을 기해야 할 것으로 보인다. 해당 랜섬웨어는 현재 바이로봇과 알약 등의 백신에서 악성코드로 탐지되고 있다.
한편, 최근 국내에는 언론사와 오픈소스 OpenX 광고플랫폼을 통한 랜섬웨어 악성코드 유포가 기승을 부리는 것으로 드러났다.
이와 관련 하우리 최상명 CERT실장은 “현재 국내 웹사이트에서 랜섬웨어 악성코드가 유포되는 주요 원인은 취약한 워드프레스 플랫폼을 사용하거나 취약한 OpenX 광고 플랫폼을 사용하기 때문”이라며, “보안에 취약한 플랫폼을 사용하는 경우 랜섬웨어 등 악성코드 대응에 만전을 기해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
| 국내(한국) 서버호스팅 | 일본 서버호스팅 |
| ○ Intel® Xeon® Octa Core E5-2670 x
2CPU 24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps |
○ Intel Xeon Quad Core L5520 x 2CPU
(센다이) 24GB DDR RAM , 1TB SATA3 HDD 구성 |
| ○ Intel® Xeon® Quad Core L5520 x 2CPU 24GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps |
○ Intel Xeon Quad Core E3-1260L 2.40 GHz
(도쿄) 8GB DDR RAM , 1TB SATA3 , 15Mbps |
| ○ Intel® Xeon® Quad Core E3 1230 8GB DDR RAM, 1TB SATA3 HDD, 1G / 10Mbps |
○ Intel Xeon Hexa(Six) Core L5640 x 2CPU
(센다이) 24GB DDR RAM , 1TB SATA3 HDD 구성 |
| 국내 코로케이션 | 일본 서버호스팅의 필수 보안서비스 |
| 1U 80,000원 / 2U 100,000원 / 4U 130,000원 쿼터 220,000원 / 하프 370,000원 / 풀 670,000원 |
DDoS(디도스) 보안서비스 + 웹방화벽 패키지 서비스 문의(070-7600-5513) |
| 1. 디도스 우회 proxy 보안서비스를 통한 웹서버 IP 숨김지원 | |
| 무료 보안 컨설팅 | 2. 웹취약점을 통한 로그인 탈취 및
데이터 손실 방어를 위한 실시간 웹방화벽 차단서비스 |
| 귀사의 서버에 보안침해를 경험하셨거나, 보안취약점 점검을 받아보시고자 하시면 언제든지 전화 및 메일 주시면 보안취약성 점검을 통한 보안레포트를 제공해드리겠습니다. 보안취약성 점검을 위한 무상장비는 웹방화벽, IPS 무상 지원해드립니다. |
홍콩 서버호스팅 |
| ○ Intel Xeon E3-1230Lv3 Core 8GB DDR RAM / 500GB SATA 구성 | |
| ○ Intel Xeon E3-1230Lv3 Core 8GB DDR RAM / 128 SSD 구성 | |
| 서비스문의 | |
| ◎ IDC사업부 : 070-7600-5513(3095, 7311) | ◎ 메일주소 : request@ehostidc.co.kr |
| ◎ 스카이프 : Sales_Team_EhostIDC ( 또는 '이호스트' 'ehostidc' 검색) | |
| ◎ 신청문의 : http://cc.ehostidc.co.kr/index.php?/cart/ | |
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
| 서버호스팅 리눅스 서버의 바이러스 감염 사례 (1) | 2016.04.11 |
|---|---|
| [주간 보안이슈]클라우드 이용자의 자동백업 정보, 구글 검색 노출 外 (0) | 2016.04.05 |
| 홍콩, 일본서버호스팅 보안 가이드. Oracle Java SE Critical Patch Update 권고 (0) | 2016.03.28 |
| 홍콩, 일본서버호스팅 보안 가이드. Apple(iOS, watchOS, tvOS, Xcode, OS X El Capitan, OS X Server, Safari) 보안 업데이트 권고 (0) | 2016.03.28 |
| 클라우드 체제의 리스크 4, 확인해야 할 것 4 (0) | 2016.03.25 |