부팅을 막는 페트야 랜섬웨어를 막으려면

윈도우즈 최신 패치해도 위험… WMIC 해제

페트야는 워너크라이처럼 윈도우즈 서버 메시지 블록(SMB) 처리기능의 취약점 공격코드(익스플로잇) 이터널 블루(Eternal Blue)를 악용해 확산되고 있습니다. 마이크로소프트(MS)는 이미 지난 3월 이 공격코드로 악용되는 윈도 SMB 취약점을 패치한 업데이트(MS17-010)를 배포했습니다.

즉, 페트야 랜섬웨어 피해를 예방하기 위한 기본 조치는 이 업데이트를 적용하는 것으로 어느 정도 방지는 되기에 평소 꾸준히 OS 업데이트와 패치를 설치하고 있었거나, 지난달 워너크라이 확산 초기 예방차원에서 윈도우즈 운영체제의 해당 업데이트를 설치했으면 이미 일부분 대비는 되었습니다.

다만 SMB 취약점 패치만으로는 충분하지 않은데 이건 페트야가 갖춘 확산 능력이 워너크라이보다 더 다양하기 때문으로 인도 사이버보안 전문사이트 '더 해커 뉴스'는 27일(현지시간) SMB 취약점을 비롯한 여러 보안 업데이트가 적용된 윈도우즈 시스템도 페트야 랜섬웨어 감염 피해를 입었다고 전했습니다.

그러니까 최신 패치된 시스템도 감염시킬 수 있다는 것으로 이 악성코드가 타 시스템을 감염시킬 때 SMB 취약점뿐 아니라 `WMIC` 및 `PSexec`라는 윈도우즈 시스템 내장 관리툴도 사용하기 때문입니다.

한 보안 전문가는 감염 예방을 위해 SMB 취약점 패치에 더해 WMIC를 사용하지 않도록 설정하는 것이 좋다고 조언했습니다. WMIC는 '윈도 매니지먼트 인스트루멘테이션(WMI)'이라는 시스템 관리 서비스 기능을 명령줄로 쓸 수 있게 만드는 인터페이스로 `더 해커 뉴스`에 따르면 WMI 서비스 중단으로 WMIC를 통한 감염 경로를 차단할 수 있게 됩니다.

이를 설정하려면 윈도우즈 명령프롬프트를 띄우고 'net stop winmgmt'라는 명령을 실행하면 되지만 이 경우에 SMS 에이전트 호스트나 방화벽같은 WMI 서비스에 의존하는 다른 서비스들도 다같이 정지됩니다.

시스템 설정을 건드리지 않고 페트야 랜섬웨어 감염을 예방할 수 있는 방법도 나왔습니다. 컴퓨터 사용자가 `C:\windows` 경로에 'perfc' 또는 'perfc.dat'이라는 이름의 파일을 만들어 넣으면 된다고 합니다. 파일 내용은 다음과 같이 합니다.

rem. > %windir%perfc

rem. > %windir%perfc.dat

attrib +R %windir%perfc.*

설명에 따르면 페트야 랜섬웨어는 감염 대상 시스템의 윈도우즈 경로안에 perfc라는 이름의 파일명이 존재할 경우 악성 행위를 중단하는 것으로 파악됐다. 시스템을 암호화하거나 다른 컴퓨터로 전파를 시도하지 않는다는데 이런 이유에서 이 파일 생성 방법은 '로컬 킬스위치'라 불리고 있습니다.

그러나, 현재는 페트야 랜섬웨어의 확산 초기인데다 위 방법을 우회하는 변종이 더 만들어질 수 있기 때문에 이상의 감염 예방법이 100% 효과를 보장한다고 장담할 수는 없으므로 일반적인 랜섬웨어 대응 방식처럼 미리 주요 파일과 데이터를 정기적으로 백업하고 안전하게 보관해야 할 필요가 있습니다.

기사 참조 - http://m.zdnet.co.kr/news_view.asp?article_id=20170628094036