일반 랜섬웨어 페트야, 데이터 파괴가 목적인 낫페트야

페트야, 낫페트야


페트야 바이러스는 전형적인 랜섬웨어로 공격 대상 컴퓨터를 감염시키고 그 안의 데이터 일부를 암호한 후 잠겨진 데이터를 돌려받고 싶으면 비트코인을 지불하라는 내용을 담긴 메세지를 전달하는 방식입니다. 한편, '페트야'라는 이름은 1995년 제임스 본드가 등장하는 영화 '골든아이(GoldenEye)'에 나오는 인공위성의 이름을 딴 이름입니다.

페트야는 오로지 윈도우 컴퓨터에서만 영향을 미칩니다.


페트야 랜섬웨어는 2016년 3월에 퍼지기 시작했습니다. 구직자 이력서로 가장하여 이메일에 첨부 파일 형태로 타깃 컴퓨터를 노렸습니다. 이때 첨부 파일은 2개였습니다. 하나는 젊은 남성의 사진 파일이었고 다른 하나는 실행 가능한 파일이었으며 파일명은 '.PDF'가 들어간 형태였습니다. 피해자가 해당 파일을 클릭하고 실행되면 윈도우 설정이 변경되어 크래커가 윈도우 사용자 접근을 쉽게 할 수 있습니다.

이것과 반대로 낫페트야는 자체적으로 확산할 수 있습니다. 기존 페트야 랜섬웨어는 컴퓨터를 감염시킬 수 있으려면 피해자가 실제로 스팸 메일을 열어서 첨부 파일을 다운 받은 후 관리자 권한을 내어 줘야만 가능했습니다.

하지만 낫페트야는 인간 사용자의 개입 없이도 바이러스를 퍼뜨릴 수 있는 여러 가지 방법을 가지고 있습니다. 최초의 감염 경로는 우크라이나의 거의 모든 기업이 사용하는 회계 소프트웨어 패키지인 'M.E Doc'이었던 것으로 추정됩니다. 'M.E Doc'서버를 통해 컴퓨터를 감염시킨 낫페트야 바이러스는 다양한 기술을 이용해 다른 컴퓨터로 전파되었습니다. 


미국 NSA가 SMB프로토콜의 윈도우 실행의 약점을 이용하기 위해 개발된 이터널블루와 이터널로맨스로 감염시킨 사례도 있습니다.


페트야 랜섬웨어보다 강력하고 빠른 감염률로 인해 러시아 보안제품 회사 '카스퍼스키 랩'은 이를 페트야와 다르다는 뜻으로 낫페트야라고 불렀고 그 이름이 그대로 굳어졌습니다.


낫페트야 바이러스는 랜섬웨어보다는 데이터를 파괴하는 멀웨어에 가깝다고 할 수 있습니다. 기본적으로는 감염된 컴퓨터를 협박합니다. 하지만 쓰레트포스트에 의하면 여태까지 범인에게 돈을 지불한 피해자는 총 50명이며 금액은 1,020만원 정도라고 합니다. 그러나 카스퍼스키와 코메이 테크놀로지스의 의견을 인용해 데이터 복구 가능성은 극히 낮다라고 합니다. 카스퍼스키는 멀웨어 코드에 오류가 있어서 복호화가 불가능하다고 했고, 코메이 측은 위에서 말한대로 삭제형 멀웨어이기 때문에 복구가 안된다고 합니다.


즉, 낫페트야는 애초에 돈이 목적이 아닌 데이터를 파괴가 목적인 바이러스입니다.

이 글을 공유하기

댓글(0)

Designed by JB FACTORY