랜섬웨어 페트야(Petya) 감염 방지 예방, 로컬 킬 스위치

랜섬웨어 WannaCry에서 끝날 줄 알았던 악성코드가 페트야(Petya)라는 강력한 랜섬웨어가 등장했습니다. 감염시 파일 암호화 뿐만 아니라 마스터 부트 레코드(MBR) 영역을 암호화시켜 부팅까지 차단되는 증상이 일어나며 해커가 비트코인을 요구합니다.

WannaCry와 동일하게 Windows SMB 취약점은 동일하지만 뿐만 아니라 윈도우 시스템 내장 관리 툴인 WMIC(윈도우 매니지먼트 인스트루멘테이션) 및 PSexec 를 사용한다고 합니다. 그중 WMIC 을 차단하면 된다고 하는데요 또 다른 예방법이 있습니다.

랜섬웨어 페트야 감염 방지 - 로컬 킬 스위치

랜섬웨어 페트야는 Windows 폴더에서 perfc라는 파일 이름이 존재하면 악성 행위를 멈춰 감염 중단이 된다고 합니다. 즉 랜섬웨어를 속이기 위해 perfc 파일을 만들면 되는데요. 이 방식이 로컬 킬 스위치라고 합니다.

1) 우선 CMD '명령 프롬프트'를 '관리자 권한'으로 실행합니다.

2) 아래와 같은 3개의 명령어를 입력 후 각각 엔터를 누릅니다. 아무 내용이 없는 perfc / perfc.dat 파일을 임의로 만들어 읽기 전용 속성으로 변경합니다.

rem. > %windir%\perfc

rem. > %windir%\perfc.dat

attrib +R %windir%\perfc.*

3) 자 그럼 Windows 폴더에 perfc / perfc.dat 파일이 만들어진 것을 볼 수 있습니다.

저는 항상 OS 업데이트를 중요하시게 여기고 있지만 그래도 요즘 나오는 신종 변종 랜섬웨어를 보아하니 임의적으로 예방해야 할 건 해야겠습니다.