Loading...

Knowledge Center


수정된 Petya 랜섬웨어 변종으로부터 보호(2017년 6월)
Technical Articles ID:   KB89540
Last Modified:  2017-09-05
Rated:


Environment

DAT를 사용하는 McAfee 제품

참고: 이 문서는 McAfee 비즈니스 및 기업용 제품에만 적용됩니다. McAfee 소비자 또는 소규모 비즈니스용 제품에 대한 정보 또는 지원이 필요하다면 https://service.mcafee.com에 방문해 주십시오.
Petya에 대한 소비자 문서: TS102703.

Summary

McAfee는 수정된 Petya 랜섬웨어 변종(PetrWrap, PetWrap, Petya.A, Petja라고도 함)이 회사 환경에서 탐지되었음을 인지하고 있습니다.

  • McAfee는 이 위협에 대한 적용 범위를 포함하기 위해 Extra.DAT(본 문서에 첨부되어 있음)를 릴리스했습니다.
     
  • 또한 McAfee는 Petya에 대한 적용 범위를 포함하기 위해 긴급 DAT를 릴리스했습니다. 후속 DAT에도 적용 범위가 포함될 예정입니다.
    적용 범위를 위한 최소 DAT
     
    • VSE(8574) 이상
    • ENS(3025) 이상
       
  • 본 문서에 첨부된 Extra.DAT는 위에 나온 DAT에 포함되어 있습니다. 위에 나온 DAT로 업데이트하지 않은 경우 본 문서에 첨부된 Extra.DAT를 계속 사용해야 합니다.
     
  • 또한 McAfee는 Global Threat Intelligence(GTI) 파일 평판에 이 위협에 대한 탐지 기능을 포함했습니다(낮음 설정 사용).
 

https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire에서 McAfee가 관찰하고 분석한 내용을 읽어보십시오.

이 문서는 추가 정보를 사용할 수 있을 때 업데이트됩니다. 이 문서의 업데이트가 있는지 지속적으로 모니터링하십시오.

이 문서에 대한 최근 업데이트

이 문서가 업데이트될 때 이메일 통보를 받으려면 페이지 오른쪽의 가입을 클릭하십시오. 가입하려면 로그인해야 합니다.

날짜 업데이트
2017년 7월 20일 고객이 검색한 동의어가 추가되었습니다.
2017년 7월 19일 PSExec에 관한 정보가 수정되었습니다.
2017년 7월 3일 이 Petya 변종을 더 효과적으로 처리하기 위해 VirusScan Enterprise 및 Endpoint Security에 대한 권장 액세스 보호 규칙이 업데이트되었습니다.
2017년 6월 28일 17:30 GMT ENS DAT(3025)에 대한 정보가 추가되었습니다.
2017년 6월 28일 12:45 GMT 긴급 DAT 8574에 대한 정보가 추가되었습니다.
2017년 6월 28일 12:10 GMT McAfee가 관찰하고 분석한 내용에 대한 링크가 추가되었습니다.
2017년 6월 28일 01:55 GMT Network Security Platform(NSP) 사용자 정의 시그니처(UDS)에 대한 정보가 추가되고 적용 범위가 업데이트되었습니다.
2017년 6월 28일 00:40 GMT 기존 시그니처가 업데이트되어 0x43c0bd00- NETBIOS-SS: MS17-010 SMB Remote Code Execution (Eternal Tools and WannaCry Ransomware)이 추가되었습니다.
2017년 6월 27일 22:40 GMT
  • VSE 및 ENS에 대한 액세스 보호 규칙이 추가되었습니다.
  • 관련 정보 섹션에 리소스가 더 추가되었습니다.
2017년 6월 27일 21:30 GMT
  • 업데이트된 Extra.DAT를 볼 수 없다는 일부 사용자의 보고가 있어 새 이름으로 파일을 다시 첨부했습니다. 올바른 파일 이름은 EXTRADAT.zip입니다.
  • Petya에 대한 McAfee NSP 적용 범위가 추가되었습니다.
2017년 6월 27일 20:23 GMT 새 Extra.DAT 파일로 업데이트되었습니다.


이 위협은 다음과 같은 증상을 나타냅니다.

  • 전파가 RDP(원격 데스크톱 프로토콜) 또는 SMB(서버 메시지 블록) 프로토콜을 통해 이루어지는 것으로 보입니다.
     
  • 랜섬웨어에 감염된 PC에 다음 메시지가 표시될 수 있습니다.

    Repairing file system on C:(C:의 파일 시스템을 복구하는 중)

    The type of the file system is NTFS.(파일 시스템 유형은 NTFS입니다.)
    One of your disks contains errors and needs to be repaired.(디스크 중 하나에 오류가 있으며 복구해야 합니다.) This process may take several hours to complete.(이 프로세스를 완료하는 데 몇 분 정도 걸릴 수 있습니다.) It is strongly recommended to let it complete.(프로세스가 완료되도록 두는 것이 좋습니다.)

    WARNING: DO NOT TURN OFF YOUR PC!(경고: PC를 끄지 마십시오.) IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA!(이 프로세스를 중단하면 모든 데이터가 삭제될 수 있습니다.) PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!(전원 케이블이 연결되어 있는지 확인하십시오.)

    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%)(CHKDSK가 xxxxxxxx개 중 xxxxx개의 섹터(x%)를 복구하는 중입니다.)


     
  • 암호화가 완료된 후 영향 받은 시스템에서 재부팅하라는 메시지가 표시될 수 있습니다. 재부팅하면 다음과 유사한 랜섬 화면이 표시됩니다.



     
  • 현재 영향을 받는 것으로 알려진 확장명은 다음과 같습니다.
     
    .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Solution

최우선 방지 액션으로, MS17-010으로 시스템을 업데이트합니다(아직 패치가 설치되지 않은 경우).  
 

Petya 랜섬웨어에 대한 McAfee NSP 적용 범위
기존 시그니처:
  • 0x43c0bd00- NETBIOS-SS: MS17-010 SMB Remote Code Execution (Eternal Tools and WannaCry Ransomware)
  • 0x43c0b800- NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability (CVE-2017-0143)   
  • 0x43c0b400- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144)   
  • 0x43c0b500- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145) 
  • 0x43c0b300- NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS: Windows SMBv1 information disclosure vulnerability (CVE-2017-0147)  
  • 0x451e3300- HTTP: Microsoft Office OLE Arbitrary Code Execution Vulnerability (CVE-2017-0199)
NSP 연구 팀은 업데이트된 적용 범위로 사용자 정의 시그니처(UDS)를 만들었습니다. 이 UDS는 KB55447에서 다운로드할 수 있습니다.

위에서 언급한 문서는 등록된 ServicePortal 사용자에게만 제공됩니다.

등록된 문서를 보려면:
  1. http://support.mcafee.com에서 ServicePortal에 로그인합니다.
  2. 홈 페이지에서 지식 센터 검색 필드에 문서 ID를 입력합니다.
  3. 검색을 클릭하거나 Enter 키를 누릅니다. 


VirusScan Enterprise(VSE) 및 Endpoint Security(ENS)에 대한 액세스 보호 규칙
VSE 및 ENS에 대한 다음 액세스 보호 규칙을 사용하면 악성 프로그램을 효과적으로 방지할 수 있습니다.  McAfee는 이 Petya 변종을 더 효과적으로 처리하기 위해 권장 AP 규칙을 업데이트했습니다.

참고: 이러한 액세스 보호 규칙을 사용한다고 해서 Extra.DAT를 구현할 필요가 없다는 의미는 아닙니다. 액세스 보호 규칙은 악성 프로그램을 방지하는 데 도움을 주기 위한 것일 뿐이며 시스템에서 악성 프로그램 페이로드가 생성되거나 실행되는 것을 막지는 못합니다.  이 두 액세스 보호 규칙은 rundll32.exe가 cmd.exe의 인스턴스를 시작하지 않도록 방지하며, 또한 Microsoft Technet의 PSExec 유틸리티가 생성되지 않도록 방지합니다.  하지만 원래 파일 이름의 PSExec 다운로드 및/또는 저장을 막지는 않으므로 관리자는 필요한 경우 이 유틸리티를 계속 사용할 수 있습니다.
  
VSE 액세스 보호 규칙
포함할 프로세스: rundll32.exe
제외할 프로세스:
차단할 파일/폴더: cmd.exe
액션: 실행 차단

참고:  이 액세스 보호 규칙은 rundll32.exe라는 프로세스가 악성 프로그램의 핵심 동작으로 알려진 cmd.exe 인스턴스를 실행하지 않도록 방지합니다.  여기에는 사용자 지정 스크립트 등을 사용하여 동일한 동작을 수행하는 합법적인 소프트웨어가 포함됩니다.
 
포함할 프로세스: *
제외할 프로세스:
차단할 파일/폴더: **\PSEXESVC.EXE
액션: 생성 차단

참고: 이 액세스 보호 규칙은 프로세스가 PSExec의 원격 서비스를 생성하지 않도록 방지합니다. 이 파일의 생성을 차단하면 악성 프로그램 페이로드 복제에 사용되는 구성요소인 PSExec가 복제되는 것을 방지할 수 있습니다. 이렇게 해도 관리자는 이 규칙이 적용되는 시스템에 PSExec의 새 복사본을 저장할 수 있습니다. 하지만 악의적 목적이든 정상적인 원격 관리 목적이든 관계없이 대상 시스템에서 PSEXESVC.EXE의 생성이 차단되므로 PSExec를 사용할 수 없습니다.
 
 
ENS 액세스 보호 규칙
파일 이름 또는 경로로 rundll32.exe를 사용하여 포함 상태가 "포함"인 새 규칙을 만듭니다.
유형이 "파일"인 하위 규칙을 만들고 대상으로 cmd.exe를 포함합니다.
실행을 방지하기 위한 액션을 선택합니다.
 
파일 이름 또는 경로로 *를 사용하여 포함 상태가 "포함"인 새 규칙을 만듭니다.
유형이 "파일"인 하위 규칙을 만들고 대상으로 **\PSEXESVC.EXE를 포함합니다.
생성을 방지하기 위한 액션을 선택합니다.

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.