[TIP] 랜섬웨어 페트야(Patya) 예방법

랜섬웨어 페트야(Patya) 예방법

워너크라이에 이어서 이번엔 페트야라는 랜섬웨어가 문제가 되나 보다.

2016년에 처음 발견된 랜섬웨어로 아직까지는 유럽에 있는 기업들이 주 공격 대상인 듯 하지만 미리 예방해서 나쁠 건 없다.

페트야(Patya)란?

워너크라이 처럼 윈도우 운영체제의 SMB(Server Mesage Block) 취약점을 이용하여 감염되는 방식으로 역시나 비트 코인을 요구한다.

하지만 워너크라이나 기존의 랜섬웨어가 문서나 사진 등을 감염시키는 정도였다면 페트야는 OS 부팅과 관련된 MBR(Master Boot Record)와 파일 정보를 가지고 있는 MFT(Master File Table)을 감염시켜 PC 부팅조차 되지 않게 만든다.

뭐 어차피 개인 컴퓨터의 경우는 어떤 랜섬웨어던 상관없이 웬만해서는 포맷하는 방법밖에 답이 없지만 기존의 랜섬웨어는 부팅은 가능하기 때문에 복호화라도 시도해볼 수 있었다면 이번 건 부팅 조차 되지 않으니 더욱 난감하다고 볼 수 있다.

그나마 다행인 것은 SMB의 취약점을 노리고 감염되기 때문에 저번 워너크라이가 이슈가 됐을 때 윈도우 업데이트와 백신을 최신 상태로 유지했다면 어느 정도 안심할 수 있다고 한다.

하지만 역시 이런 건 가만히 있다가 걸리고 나서 후회하는 것보다는 추가적인 예방법이 더 있다면 미리 대비해서 감염 확률을 줄이는 것이 더 좋다.

(그래도 걸렸다면...)

예방법

페트야 랜섬웨어에 감염되면 암호화를 시작하기 전에 윈도우가 설치된 폴더에 'perfc.dat'라는 파일이 있는지 확인 하고 파일이 존재하면 감염된 것으로 판단하고 작동을 멈춘다고 한다.

따라서 예방법은 해당 파일을 윈도우 폴더 안에 만들어주고 읽기 전용으로 설정하면 된다.

작성 예)

fsutil file createnew C:\Windows\perfc 0

fsutil file createnew C:\Windows\perfc.dll 0

fsutil file createnew C:\Windows\perfc.dat 0

attrib +R C:\Windows\perfc

attrib +R C:\Windows\perfc.dll

attrib +R C:\Windows\perfc.dat

명령어 텍스트 파일 : 랜섬웨어 페트야(Patya) 예방법.txt

cmd실행 예시

말 그대로 파일만 존재하면 되는 것이기 때문에 copy con 으로 만들어도 되고 다른 파일을 복사해다가 이름을 바꿔도 되고 윈도우 텍스트 파일을 저장하면서 확장자만 바꿔도 되고 어떤 방법을 쓰던 만들기만 하면 된다.

다만 도스가 아닌 윈도우 환경에서 만드는 경우는 확장자가 가려져 있어서 잘못 만들어질 수 있으니 이 부분만 유의하면 된다.