본문 바로가기

Zoom 仁/인하 뉴스피드

컴퓨터 부팅을 차단하는 랜섬웨어 ‘페트야’ … 꼭 예방하세요!


 


5월 어느 날, 이런 내용이 담긴 뉴스를 보신 적이 있으실 겁니다.


주말에 쉬고 월요일 (15)에 출근할 경우, 컴퓨터를 켜기 전에 인터넷 선을 뽑아라. 인터넷과 분리된 상태로 컴퓨터를 켜 윈도우 운영체제의 파일 공유 기능을 해제한 다음, 인터넷 선을 연결하고 마이크로소프트의 보안배치를 하라.”


 


이 날을 전후로 전세계 100여개 나라의 병원과 기업에서 동시다발적으로 워너크라이라는 이름을 가진 랜섬웨어가 크게 강타하였습니다. 신고된 피해 사례만 8만건에 달하였으며 이로 인해 업무의 차질을 일으키고 마비를 초래하였습니다.


 


랜섬웨어의 위협은 날로 커지고 있습니다. 랜섬웨어에 감염된 PC의 경우 몸값을 지불하면 복호화 키를 제공해준다는 메세지를 출력하게 되는데요, 몸값을 지불해도 데이터를 해독할 수 있다는 보장이 없어 사실상 예방이 최선책입니다. 실례로, 국내 웹호스팅업체 인터넷나야나가 해커에게 13억원을 주었음에도, 데이터를 원상복구하지 못해 정상서비스가 불가한 상태입니다.


 


오늘은 컴퓨터의 부팅을 차단시켜버리는 랜섬웨어 페트야를 예방하는 방법을 전해드리려 합니다. 페트야는 기존의 랜섬웨어와 다르게 저장매체에 저장된 파일을 암호화시키고, 아울러 OS 구동을 시키기 위한 MBR (Master Boot Record) 영역을 감염시키는 특징을 가지고 있습니다. 이는, MBR 시스템에서 페트야에 감염될 경우, PC의 부팅이 불가능하게 되고, 설령 다른 부팅 디스크로 부팅하였다 하더라도 모든 파일이 잠겨 있으므로 사실상 저장매체를 통째로 사용하지 못하는 상황에 이르게 됩니다.


 



 



  1. Perfc.dat 파일 생성을 통한 임시방편


안랩에서 제공하는 임시방편은 Windows 폴더의 perfc / perfc.dat 파일을 생성하는 방법입니다. MBR 시스템을 사용하는 PC에서 시작 실행 – cmd (관리자 권한 실행)으로 이동 후, 아래 명령어를 차례대로 입력하는 것으로 예방할 수 있습니다.


 


rem. > %windir%\perfc


rem. > %windir%\perfc.dat


attrib +R %windir%\perfc.*


 


  1. 윈도우를 GPT로 파티션하여 사용하기


신종 랜섬웨어 페트야MBR 영역을 감염시켜 부팅을 차단시키고 있습니다. 따라서 윈도우를 GPT로 파티션한 후 UEFI 부팅으로 시스템을 사용한다면 감염되지 않습니다. , 이 방법은 다른 방식으로 파티셔닝을 하는 방법이므로, 윈도우의 재설치가 필요한 점 참고하시기 바랍니다.


 


Note: 부트영역을 감염시키는 페트야와 비슷한 랜섬웨어는 아직까지 보고된 바가 없으므로, 위 방법이 모든 위협으로부터 예방할 수 있는 방안이 아니라는 점 숙지하시길 바랍니다. 랜섬웨어의 특성상 얼마든지 변종이 만들어지므로, 이용자는 항상 데이터를 정기적으로 백업하고, 랜선으로부터 백업장치를 분리시켜놓아야 합니다. 다음 시간에는 백업에 적합한 소프트웨어는 무엇이 있으며 어떻게 사용하는지 알아보고 따라해보는 시간을 가지도록 하겠습니다. 지금까지 인하누리였습니다. 감사합니다.