28일 오전 9시 기준으로 현재 한국인터넷진흥원(KISA)에 공식적으로 신고된 페트야 랜섬웨어 감염 사례는 없다.
다만 인터넷 커뮤니티 상에서 페트야 랜섬웨어에 감염된 것으로 추정되는 글이 올라왔다. 인터넷 커뮤니티 SLR클럽 게시판에는 27일 저녁 9시 25분경 회사 전체가 랜섬웨어에 걸렸다는 글과 함께 사진이 게재됐다. 랜섬웨어에 걸린 PC의 사진은 페트야 랜섬웨어에 걸릴 때 보여지는 화면과 동일하다.
|
페트야 랜섬웨어는 27일부터 우크라이나, 영국, 러시아 등 유럽 등지에서 피해를 일으키고 있다. 글로벌 보안업체 카스퍼스키랩에 따르면 지금까지 약 2000명의 사용자가 공격을 받은 것으로 확인됐다. 러시아와 우크라이나가 가장 많은 공격을 받았으며 폴란드, 이탈리아, 영국, 독일, 프랑스, 미국 및 여러 국가도 공격을 받았다.
페트야 랜섬웨어는 워너크라이 랜섬웨어 유포에 사용된 윈도 운영체제의 SMB(Server Message Block) 취약점을 이용하고 있다. 또 워너크라이처럼 한대의 PC가 감염되면 인터넷에 연결된 다른 PC도 무작위로 찾아내 공격을 시도하는 네트워크 '웜(Worm)'의 특성도 지니고 있다.
페트야 랜섬웨어의 파괴력은 워너크라이보다 더 강력하다. 워너크라이는 컴퓨터 내에 사진이나 파일 등 일부 데이터만 개별적으로 암호화시켰다. 반면 페트야는 파일 암호화 외에 PC의 MBR(Master Boot Record)을 변조해 윈도 OS의 컴퓨터 부팅이 불가능하게 만든다. 페트야 랜섬웨어에 감염되면 사용자가 컴퓨터를 키고 부팅을 시도할 때 정상 윈도 로고 대신 랜섬웨어 감염사실과 금전을 요구하는 '랜섬노트'가 팝업된다.
|
카스퍼스키랩은 이번에 확산되고 있는 랜섬웨어가 이전에 발견됐던 페트야 랜섬웨어와는 다르다고 분석했다. 페트야 랜섬웨어는 지난해 초 처음으로 발견된 랜섬웨어다.
카스퍼스키랩 측은 "이번 랜섬웨어는 기존에 공개된 페트야 랜섬웨어의 변종이 아니며 이전에는 보고되지 않은 새로운 유형이다"라며 "페트야와 비슷한 여러 문자열을 가지고 있지만 완전히 다른 기능을 가지고 있다"라고 설명했다.
페트야 랜섬웨어 피해를 예방하기 위해서는 △V3 등 백신을 최신으로 업데이트 및 시스템 정밀검사 및 실시간 감시 기능 키기 △윈도 OS 및 기타 사용 중인 프로그램을 최신으로 업데이트 △주요파일 백업 △수상한 메일 첨부파일 실행금지 등 기본 보안 수칙을 실행해야 한다.
이스트시큐리티 시큐리티대응센터는 "워너크라이 랜섬웨어 사태 이후 각국의 보안 기업과 관련 기관이 SMB 취약점 업데이트에 대한 안내를 지속해왔지만, 동일한 취약점을 사용하는 페트야 랜섬웨어 공격의 피해사례가 전 세계적으로 접수되고 있는 것을 보아 아직 많은 사용자가 보안 업데이트를 진행하지 않은 것으로 보인다"면서 "SMB 취약점을 활용한 공격은 윈도와 백신의 최신 버전 업데이트만으로도 대부분 차단할 수 있다"고 당부했다.
![“모두가 절 죽였습니다”…끝내 ‘없던 일' 되지 못한 그날 밤[그해 오늘]](https://image.edaily.co.kr/images/Photo/files/NP/S/2024/05/PS24052001134t.jpg)
