'랜섬웨어'에 해당하는 글 2건

Petya 랜섬웨어 대응 방법

Security 2017. 7. 3. 15:33

Microsoft의 안티바이러스 솔루션(Windows Defender, System Center Endpoint Protection, Forefront Endpoint Protection) Petya 랜섬웨어를 탐지하고 보호합니다.


이 랜섬웨어는 2017 3월에 발표된SMBv1 보안 업데이트 MS17-010에서 해결된 두 가지 취약점과 여러 기법을 이용하여 전파되며, MS17-010 보안 업데이트를 적용하지 않은 모든 Windows 에디션에 영향을 미칠 수 있습니다([참고링크]Microsoft 보안 공지 MS17-010 - 긴급 (https://technet.microsoft.com/library/security/ms17-010))


Petya 랜섬웨어 감염 시, Master Boot Record(MBR)을 악성 파일로 변경하고 시스템 드라이브 섹터를 암호화한 후 강제 재부팅 시킵니다부팅 후 아래와 같은 화면이 나타납니다

 

 
 





이 랜섬웨어의 자세한 내용은 다음 링크에서 확인할 수 있습니다
Ransom:Win32/Petya.A : HTTPS://WWW.MICROSOFT.COM/SECURITY/PORTAL/THREAT/ENCYCLOPEDIA/ENTRY.ASPX?NAME=WIN32%2FPETYA


일반적인 예방 조치로 알 수 없는 파일을 열 지 않도록 주의하시기 바랍니다. Microsoft는 계속 이 문제를 조사하고 있으며 고객 보호를 위해 적절한 조치를 취할 것입니다.


 

맬웨어 탐지


최신 엔진 버전의 Windows Defender, System Center Endpoint Protection,  Forefront Endpoint Protection 은 이 랜섬웨어를 Ransom:Win32/Petya 탐지합니다.


사용 중인 Microsoft AV솔루션의 엔진 버전을  다음 버전과 같거나 그 이상인지 확인하시기 바랍니다:


  • Threat definition version: 1.247.197.0
  • Version created on: 12:04:25 PM : Tuesday, June 27 2017
  • Last Update: 12:04:25 PM : Tuesday, June 27 2017


추가로무료로 제공되는 Microsoft Safety Scanner http://www.microsoft.com/security/scanner/ 는 이 랜섬웨어 뿐만 아니라 다른 많은 위험 요소도 탐지하도록 설계되었습니다백신을 사용하지 않고 있는 고객들은 Microsoft Safety Scanner를 이용하여 시스템을 점검하실 수 있습니다.



권장 사항


다음 세 가지 단계를 적용하여 Petya 랜섬웨어를 예방하십시오:  


  1. 사용 중인 Windows 시스템에 최신 보안 업데이트가 설치되어 있는지 확인하십시오. 
    자동 업데이트를 사용하는 고객은 별도로 조치할 필요가 없습니다
    수동 업데이트를 하거나 WSUS/SCCM 또는 타사의 Patch management 솔루션을 사용하는 고객은 반드시 Microsoft 보안업데이트 MS17-010     를 적용하시기 바랍니다
    (Windows 7      Windows Server 2008 R2 이상에서는     2017 3월 보안 전용 업데이트 또는 2017 3월 이상의 월별 롤업을 설치하십시오.)  
  2. 사용 중인 백신이 최신 버전인지 확인하십시오.
  3. 알 수 없거나 출처가 불명확한 이메일 및 첨부파일을 열지 않습니다.


주의:  이 사항은 이 랜섬웨어로 감염을 예방하기 위한 심층 보안 권고 사항이지만이러한 단계만으로 감염 예방을 보장하지는 않습니다.


1. 랜섬웨어 감염 시 외장하드나 공유폴더도 함께 암호화되므로 신속히 연결 차단.
2. 인터넷선과 PC 전원 차단.
3. 증거 보존 상태에서 신속하게 경찰에 신고.
4. 증거조사 후 하드 디스크는 분리해 믿을 수 있는 전문 보안업체를 통해 치료 요청.
5. 감염된 PC는 포맷 후 백신 등 주요 프로그램 최신버전 설치 후 사용.
6. 평소 해킹 상담, 피해 신고, 원격 점검 등은 한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr, 전화 118)에서 서비스 제공.

[네이버 지식백과] 랜섬웨어 [Ransomware] - 사용자 PC를 인질로 삼는 보안 공격 (용어로 보는 IT)


관련 링크


Ransom:Win32/Petya.A : https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32%2fPetya 

반응형
저작자표시 비영리 변경금지

'Security' 카테고리의 다른 글

State Agency's Password Puzzle Dcode  (0) 2018.11.09
사이버 교전규칙, 나토 ‘탈린 매뉴얼’_국방일보  (0) 2017.07.21
해킹 정보- 스푸핑(Spoofing) 편  (0) 2017.06.29
키로그 프로그램 종류 및 설명  (0) 2017.06.29
사이버 보안을 지키는 수칙 보안수칙  (0) 2017.06.13
WRITTEN BY
J cert
Freedom of Liberty and the establishment of a law to establish the law of cyberspace will defend freedom and try to build a just society.
,

[Issue]나야나 해킹사건 랜섬웨어

CyberWar/Cyber security trends 2017. 6. 14. 17:14


이번 인터넷 나야나 해킹사건 랜섬웨어 피해 중 상당히 큰 피해 인거같네요

회사를 파산 시키고 18억에 해결되었습니다. 해킹에 의한 나쁜 선례로 남을것 같아 안타깝습니다. 

나야나의 운영진의 책임의식이 대단합니다.
보통사람이라면 모든것을  포기하고 돈챙기고 잠수타는데  

나야나 ceo의 책임의식을 보여주는 자료입니다.

인터넷나야나 대표이사 황칠홍입니다. 우선 이번 사태로 인해 충격과 피해를 보신 모든 분들께 진심으로 사과 드립니다. 죄송합니다. 6월 10일 새벽1시 해커의 공격으로 인해 저희 회사의 모든 임직원이 멘붕에 가까운 어려움을 격다보니 대처가 미흡했습니다. 또한, 저희가 해결하려고 여러모로 분주하게 알아보고는 있으니 시간적인 한계와 저의 능력 부족으로 인해 여기까지 왔습니다. 해커와의 요구는 50억이었으나 협상을 통해 18억까지 진행된 상태입니다. 그러나 18억 원이라는 큰돈이 저에게는 없습니다. 현재 제가 백방으로 알아본 현금자산은 4억 원입니다. 저는 협상을 하면서 4억 원 이상을 제시할 수 없는 상황이었으며 어쩔 도리가 없어 4억을 제시한 상태입니다. 또한 한국인터넷진흥원과 사이버 수사대에서도 다각도로 복호화하는 방법에 대해 알아보고 있는 것으로 알고 있습니다. 저희 또한 국내외 여러 채널을 통해 복구할 수 있는 방법에 대해 알아보고는 있으나 시간적인 한 방법을 찾지 못하고 있습니다. 제가 해커에게 제시한 협상시간은 오늘 12시입니다. 왜냐하면 금일 24시가 되면 해커는 협상금액을 2배로 올리기로 했기 때문입니다. 12시까지 협상이 된다면 비트코인 환전과 송금 등을 하여 복구에 최선을 다 할 것입니다. 또한 제가 할 수 있는 금액인 4억을 제외하고 저희 회사의 모든 지분을 인수하는 조건으로 몇몇 업체에 제안을 하여 얼마까지 가능한지에 대한 법인지분매각도 함께 알아보았습니다. 어려운 상황이라 매각 또한 쉽지 않아 오늘까지 시간이 걸렸으며 8억까지는 가능하다는 답변은 오전9시30분에 받았습니다. 저는 12시까지의 협상시간이 지나면 저의 모든 융통 자산인 4억과 인수를 희망하는 업체의 금액 8억 원 총 12억 원으로 다시 해커와 협상을 진행 할 것입니다. 이 협상이 채결된다면 자료는 복구될 확률은 좀더 높아질 것이라 생각합니
다. 피해를 보신 고객님께서 모두 힘드시겠지만 12시까지의 협상과 그 후 협상을 좀더 기다려 주셨으면 좋겠습니다. 자료복구만이 1차적인 해결이라 판단한 저의 선택이 맞는지는 모르겠으나 저는 이것이 저의 최선의 선택이라 생각합니다. 다시 한번 피해를 입으신 모든 고객님들께 죄송하다는 말씀 드립니다. 또한 피해가 없는 고객님들의 서버는 2차 피해가 없도록 저희와 사이버수사대, 한국인터넷진흥원 등 모든 분들과 협조하여 조치를 취하고 있습니다. 감사합니다. -------------------------------------------------------------- 어제 저녁 마지막으로 해커와 접촉한 내용입니다. 안녕하세요 인터넷나야나 CEO 입니다. 이제 저는 파산합니다. 20년 동안 열심히 해온 모든 것들이 내일 12시면 사라질 것이라 예상되네요. 당신이 얼마에 만족하실지는 모르겠으나 없는 돈을 만들 수도 없고 당장 돈을 급하게 구한 나의 모든 돈이 한화4억 원(123bit)이니 당신과 더 좋은 협상을 할 수도 없습니다. 나도 당신이 원하는 550bit가 있었으면 좋겠다. 그 돈이 있다면 나는 나를 믿고 나에게 서비스를 맡겨준 많은 사람들의 자료라도 살릴 수 있을 텐데 이제는 뉴스와 각종 언론에 노출되어 회사를 사겠다는 사람도 없고 더 이상 구할 수 있는 돈도 없다. 누가 이런 회사사정을 알면서 나에게 돈을 빌려주겠는가? 이젠 당신이 한화4억 원(123bit)로 승인을 한다고 해도 나는 더 이상 회사를 살리지 못할
것이다. 왜냐하면 복구된다고 해도 고객의 소송이나 항의를 감당 할 수 없기 때문이다. 당신은 어떻게 되든 나의 좌절을 보게 될 것이다. 그럼에도 불구하고 나는 당신에게 부탁한다. 나의 좌절은 지켜보더라도 나의 소중한 고객의 자료만은 복구 할 수 있게 도와줘라. 한화4억 원(123bit)를 주겠다. 만약 복구를 할 수 있게 된다면 나는 좌절하겠지만 나의 고객은 다른 좋은 회사에서 다시 일어설수 있을 것이다. 당신이 정말 해커라면 이 정도는 해줘야 한다고 생각한다. 나는 나의 모든 것을 잃는다 해도 제발 부탁한다. 나의 고객들을 살수 있게 도와줘라. 내가 가진 모든 것이 한화4억 원(123bit)이다.

  안타깝습니다.

                         

이번 사건을 통해 더이상 클라우드도 안전지대가 아니며 호스팅 서버가 타겟을 잡는 악의적인 해커들이 많이 나올 것 같아 걱정 

이됩니다. 

이번 사건을 개기로 인재를 양성하고 보안의식 개선과 인식개선도 필요해 보입니다. 



반응형
저작자표시 비영리 변경금지

'CyberWar > Cyber security trends' 카테고리의 다른 글

2017년 6월 정기 사이버 보안 세미나 월간 보안 이슈 모음_사이버보안센터  (2) 2017.07.12
[MS 보안업데이트] 2017년 6월 MS 정기 보안업데이트 권고  (0) 2017.06.29
[kisa]랜섬웨어 피해 예방을 위한 백업체계 보안 강화 권고  (0) 2017.06.13
2017년 5월 정기 사이버 보안 세미나 월간 보안 이슈 모음_사이버보안센터  (0) 2017.06.06
한국 microsoft, 오픈소스 클라우드 로드쇼 개최  (0) 2017.05.19
WRITTEN BY
J cert
Freedom of Liberty and the establishment of a law to establish the law of cyberspace will defend freedom and try to build a just society.
,