해외 보안연구자들은 최근 확산되고 있는 ‘페트야(Petya)’ 랜섬웨어에 대해 이것이 페트야의 코드를 빌린 새로운 변형이라는 사실을 발견했다. 연구원들은 이를 NotPetya, Petna, 또는 SortaPetya라고 명명하고 있다.
특히 많은 보안연구진이 이 페트야 킬 스위치 메커니즘을 찾기 위해 몰려 들었다. 연구자들이 워너크라이(WannaCry)와 유사하게 확산을 막을 암호 또는 킬스위치 도메인에서 허점을 찾기 위해 분석을 위해 몰려 들었다.
이 랜섬웨어의 내부 동작을 분석하면서 보안연구원은 일명 ‘NotPetya’가 로컬 파일을 검색하고 해당 파일이 디스크에 이미 존재하는 경우 암호화 루틴을 종료한다는 것을 발견했다.
이는 피해자가 PC에서 파일을 만들고 읽기 전용으로 설정하면 NotPetya 랜섬웨어가 실행되지 못하도록 차단할 수 있다는 것이다.
연구원들은 “이 방법은 킬 스위치라기 보다는 예방 접종이라고 할 수 있다.
연구원들은 현재 NotPetya, Petya, Petna에 감염되지 않도록 컴퓨터에 예방 접종을 하려면 C : \ Windows 폴더에 perfc 라는 파일을 만들고 읽기 전용으로 만들면 된다. 이 작업을 빠르고 쉽게 수행하기 위한 배치 파일도 공개됐다.
그 배치 파일은 perfc.dat 및 perfc.dll 이라는 두 개의 추가 예방 접종 파일도 생성한다.
이 배치 파일은 https://download.bleepingcomputer.com/bats/nopetyavac.bat에서 확인할 수 있다.
nopetyavac.bat[출처 : http://www.dailysecu.com/?mod=news&act=articleView&idxno=21429]
==============================================================
이와 함께 안랩은 원격지 실행을 차단하는 방법에 대해 소개했다. 악성코드 내부에 원격지 파일실행을 위한 MS 제작의 ‘psexec.exe’ 를 포함하는 것으로 확인됐다.
원격 때 시스템에 페트야 랜섬웨어와 ‘psexec.exe’를 함께 복사해 이 파일로 하여금 랜섬웨어가 구동되는 기능을 갖도록 한다. 이 파일은 ‘dllhost.dat’라는 고정된 이름으로 %windows% 경로에 복사돼 있다. 이 경로의 ‘dllhost.dat’ 파일을 삭제하면 원격지에 복사된 랜섬웨어가 구동하는 것을 막을 수 있다.
윤광택 시만텍코리아 CTO는 “페트야 랜섬웨어는 미국국가안보국(NSA) 해킹에 의해 유출된 SMB 취약점을 이용해 대량으로 확산된 워너크라이 랜섬웨어의 웜 전파 방식을 차용한 사례”라며 “앞으로 이를 모방한 유사 사이버 범죄가 등장할 것으로 예상되며, 국내 기업들도 피해를 입지 않도록 소프트웨어를 업데이트하고 최신 보안패치를 적용해야 할 것”이라고 말했다.
[출처 : http://www.ddaily.co.kr/news/article.html?no=157562]
==============================================================
Starting and Stopping the WMI Service
WMI runs as a service with the display name "Windows Management Instrumentation" and the service name "winmgmt". WMI runs automatically at system startup under the LocalSystem account. If WMI is not running, it automatically starts when the first management application or script requests connection to a WMI namespace.
Several other services are dependent upon the WMI service, depending on the operating system version that the system is running.
Starting Winmgmt Service
The following procedure describes how to start the WMI service.
To start Winmgmt Service
-
At a command prompt, enter net start winmgmt [/<switch>].
For more information about the switches that are available, see winmgmt. You use the built-in Administrator account or an account in the Administrators group running with elevated rights to start the WMI service. For more information, see User Account Control and WMI.
-
Other services that are dependent on the WMI service, such as SMS Agent Host or Windows Firewall, will not automatically be restarted.
Stopping Winmgmt Service
The following procedure describes how to stop the WMI Service.
To stop Winmgmt Service
-
At a command prompt, enter net stop winmgmt.
-
Other services that are dependent on the WMI service also halt, such as SMS Agent Host or Windows Firewall.
Examples
The TechNet Gallery contains the WMI service watchdog script, which describes how to programmatically shut down and restart the winmgmt service with PowerShell.
Related topics
[출처 : https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx]
'Academy I > Tech Academy' 카테고리의 다른 글
| android adb command 로 fastboot mode 로 부팅하기 (0) | 2017.07.05 |
|---|---|
| XperiaCompanion (0) | 2017.07.04 |
| How to Root and install CWM/TWRP Recovery on Sony Xperia Z Ultra (0) | 2017.07.03 |
| How to Install Xperia Z1 Camera on Xperia Z/ZL/ZR/Z Ultra (0) | 2017.07.03 |
| WannaCry 랜섬웨어 예방법 (윈도우 OS별 패치 URL) (0) | 2017.07.03 |
| Kingroot 사용법 언루팅 총정리 (0) | 2017.06.30 |
| How to unlock Bootloader on Sony Xperia Z Ultra (0) | 2017.06.30 |
| Sony Xperia Z Ultra C6833 the official usb Driver (0) | 2017.06.30 |
