mir.pe (일반/밝은 화면)
최근 수정 시각 : 2024-11-19 20:14:35

페트야

1. 개요2. 종류3. 공통 증상4. 복구 방법5. 기타

1. 개요



팩트야 바이러스


컴퓨터 랜섬웨어의 일종이며 MBR 영역을 공격하는 랜섬웨어 중 가장 인지도가 높다. 페트야 그린, 페트야 레드, 페트야 골든아이 등등 여러 컬러가 있다. 영어로는 Petya.[1] 제작자는 야누스(Janus)이며, 미샤(Mischa)라는 별개의 암호화 방식을 지닌 랜섬웨어와 세트로 감염된다. 페트야, 미샤는 모두 영화 007 골든 아이에 등장하는 인공위성의 이름으로부터 따온 것이라고 한다. '야누스'라는 제작자 이름도 영화의 메인 악역인 알렉 트리벨리언의 가명을 그대로 따온 것이다.[2] 또한 파티션의 MBR을 '7' (0x37)로 XOR 처리한다.

2. 종류

3. 공통 증상

관리자 권한을 요구하므로 실행 시 사용자 계정 컨트롤 창이 나온다. 레드는 아니요를 누르면 실행되지 않지만, 그린 이상은 예를 누르든 아니요를 누르든간에 무조건 작동한다.[10]

여기서 예를 누를 경우 잠시 동안 아무 일이 없다가[11] 갑자기 블루스크린[12]이 일어나고 강제로 재부팅된다. 재부팅 후에는 갑자기 chkdsk 화면이 나와서 드라이브를 고치고 있다는 화면이 나오는데, 물론 이건 가짜 chkdsk로 드라이브를 암호화시키는 중이다.[13] 드라이브를 다 고친 후에는 각각의 색으로 번쩍거리는 해골 무늬가 나온다. 여기서 엔터를 치면 해독키 구매 화면으로 넘어간다. 24시간 안에 해독키를 구매하여 입력하지 않으면 영원히 복구할 수 없게 된다.

외국산 랜섬웨어라 한컴 문서는 암호화되지 않는다.

4. 복구 방법


해당 영상 참고.

5. 기타


[1] 일반적으로 '뻬쨔'로 알려진 러시아어 이름 페탸(Петя)의 라틴 문자 표기이다. [2] 흥미롭게도 이 영화에서는 '보리스 그리셴코'라는 러시아 천재 해커 캐릭터가 나온다. 아마 제작자 집단이 이 영화의 팬인 듯하다. [3] NtRaiseHardError라는 함수를 사용하여 블루스크린을 일으킨다. 이 때 오류코드는 c0000350(STATUS_HOST_DOWN)이다. [4] 윈도우 자체를 살리지 않고 파일만 살리려면 그냥 컴퓨터에서 하드디스크를 분리하여 다른 컴퓨터에 외장으로 연결하여 복사하면 된다. [5] 한컴오피스를 국내에서만 써서 그런지 외국 랜섬웨어다 보니 한컴오피스를 제작자가 모르는 듯 하다. [6] 그래서 페트야 '그린'이다. [7] 정보가 없다보니 사람들이 이 사실을 잘 모른다. 참조 [8] 해독 코드를 24시간 안에 구입해야만 가능하다. 그런데 가격이 어마무시하다. [9] 자동차의 와이퍼 처럼 컴퓨터의 모든 부분을 싹 없애버린다고 보면 된다. [10] 정확히는 예를 누르면 페트야가 실행되고 아니요를 누르면 미샤(Mischa)가 실행된다. 이는 페트야가 MBR 영역을 수정하기 위해서는 관리자 권한이 필요하기 때문이다. 개발자의 설명에 따르면, 페트야는 디스크에 대한 저수준 암호화를 수행하는 신형 암호화 체계를 사용하는 반면, 미샤는 기존에 있던 파일 기반 암호화 랜섬웨어다. [11] 작업 관리자에서 보면 페트야가 작동 중인 것을 볼 수 있다. 물론 이미 MBR가 변조되어 있으며 강제종료하면 블루스크린이 일어난다. [12] 오류 코드는 c0000350(STATUS_HOST_DOWN) [13] 원래 chkdsk는 윈도우 부팅 과정에서 실행된다. [14] 오래된 윈도우는 보안에 취약한 특성이 있지만 바이러스가 최신 윈도우를 타켓하는 경향도 있다. 워너크라이 Windows XP부터 정상 실행(?)되며, Windows 2000에서는 일부 증상이 일어나지 않으며 Windows 95에서는 아예 실행되지 않는다. 하지만 낫페트야는 윈도우 XP에서도 실행이 된다.