1. 개요
컴퓨터 랜섬웨어의 일종이며 MBR 영역을 공격하는 랜섬웨어 중 가장 인지도가 높다. 페트야 그린, 페트야 레드, 페트야 골든아이 등등 여러 컬러가 있다. 영어로는 Petya.[1] 제작자는 야누스(Janus)이며, 미샤(Mischa)라는 별개의 암호화 방식을 지닌 랜섬웨어와 세트로 감염된다. 페트야, 미샤는 모두 영화 007 골든 아이에 등장하는 인공위성의 이름으로부터 따온 것이라고 한다. '야누스'라는 제작자 이름도 영화의 메인 악역인 알렉 트리벨리언의 가명을 그대로 따온 것이다.[2] 또한 파티션의 MBR을'7' (0x37)
로 XOR 처리한다.2. 종류
- 페트야 레드 - 제일 약한 색깔. 파일을 암호화시키지 않는다. 왜냐하면 실행 시 조금 뒤에 블루스크린을 띄우며[3] 바로 컴퓨터를 강제로 재부팅시키기 때문이다. 이렇기 때문에 굳이 파일을 암호화시킬 필요가 없었다. 컴퓨터 전체를 잠그기 때문에.[4]
- 페트야 그린 - 한글 문서 등등을 제외한 파일들을[5] '.petya' 형식으로 암호화시킨다. 그리고 잠시 후 컴퓨터에 블루스크린이 뜨며 자동으로 컴퓨터가 다시 시작된다. 그리고 다시 시작할 때 해골 무늬가 초록색[6] 으로 번쩍이며, 비트코인을 지급하라고 뜬다. 페트야 그린 랜섬웨어는 제작자의 실수인지, 비트코인 지급 없이 복호화할 수 있는 방법이 있다.[7]
- 페트야 핑크코랄(낫페트야) - 랜섬웨어가 아닌 와이퍼 멀웨어로[9] 파일을 암호화하는 게 아니라 파괴하며 MBR 복사본을 따로 보관해두지 않아서 해독키를 알아내도 복구할 수 없다. 넣는 걸 깜빡했는지 해골이 번쩍이는 부분이 없다.
페트야 아니래잖아파일 암호화와 동시에 컴퓨터를 작동불능으로 만든다. 페트야 레드,그린,골든아이와 다르게 복호화 방법이 사실상 없다고 한다.
3. 공통 증상
관리자 권한을 요구하므로 실행 시 사용자 계정 컨트롤 창이 나온다. 레드는 아니요를 누르면 실행되지 않지만, 그린 이상은 예를 누르든 아니요를 누르든간에 무조건 작동한다.[10]여기서 예를 누를 경우 잠시 동안 아무 일이 없다가[11] 갑자기 블루스크린[12]이 일어나고 강제로 재부팅된다. 재부팅 후에는 갑자기 chkdsk 화면이 나와서 드라이브를 고치고 있다는 화면이 나오는데, 물론 이건 가짜 chkdsk로 드라이브를 암호화시키는 중이다.[13] 드라이브를 다 고친 후에는 각각의 색으로 번쩍거리는 해골 무늬가 나온다. 여기서 엔터를 치면 해독키 구매 화면으로 넘어간다. 24시간 안에 해독키를 구매하여 입력하지 않으면 영원히 복구할 수 없게 된다.
외국산 랜섬웨어라 한컴 문서는 암호화되지 않는다.
4. 복구 방법
해당 영상 참고.
- 1.링크로 들어가 파일을 다운로드한 다음 압축을 푼다.
- 2.txt 파일을 만든 후 페트야 창에 있던 개인 코드를 - 빼고 모두 적은 뒤 petya_key.exe로 드래그한다.
- 3.창이 뜨면 버전을 입력한뒤 엔터친다.
- r:레드
- g:그린
- d: 골든아이
- 4.실행 이후 나온 키를 모두 옮겨적는다.
5. 기타
- 레드 기준 Windows XP에서는 실행되지 않는다.[14]
- 랜섬웨어가 흔히 그렇듯, 페트야의 제작팀인 야누스 역시 다크 웹을 통해서 랜섬웨어를 배포하는 웹사이트를 만들어 유지하고 있다. 사이트 광고문구에 따르면, "다중 서명(multisig) 방식을 통해 여러분이 사기당하는 일 없이 수익을 올릴 수 있도록 해드립니다"라고 한다. 정작 돈을 내도 복호화를 해줄지 말지는 해커 마음대로인데다, 랜섬웨어에 따라서는 복호화를 해주고 싶어도 할 수 없는 구조이기 때문에 상당히 악질적이라 할 수 있다.
[1] 일반적으로 '뻬쨔'로 알려진 러시아어 이름 페탸(Петя)의 라틴 문자 표기이다.[2] 흥미롭게도 이 영화에서는 '보리스 그리셴코'라는 러시아 천재 해커 캐릭터가 나온다. 아마 제작자 집단이 이 영화의 팬인 듯하다.[3] NtRaiseHardError라는 함수를 사용하여 블루스크린을 일으킨다. 이 때 오류코드는 c0000350(STATUS_HOST_DOWN)이다.[4] 윈도우 자체를 살리지 않고 파일만 살리려면 그냥 컴퓨터에서 하드디스크를 분리하여 다른 컴퓨터에 외장으로 연결하여 복사하면 된다.[5] 한컴오피스를 국내에서만 써서 그런지 외국 랜섬웨어다 보니 한컴오피스를 제작자가 모르는 듯 하다.[6] 그래서 페트야 '그린'이다.[7] 정보가 없다보니 사람들이 이 사실을 잘 모른다. 참조[8] 해독 코드를 24시간 안에 구입해야만 가능하다. 그런데 가격이 어마무시하다.[9] 자동차의 와이퍼 처럼 컴퓨터의 모든 부분을 싹 없애버린다고 보면 된다.[10] 정확히는 예를 누르면 페트야가 실행되고 아니요를 누르면 미샤(Mischa)가 실행된다. 이는 페트야가 MBR 영역을 수정하기 위해서는 관리자 권한이 필요하기 때문이다. 개발자의 설명에 따르면, 페트야는 디스크에 대한 저수준 암호화를 수행하는 신형 암호화 체계를 사용하는 반면, 미샤는 기존에 있던 파일 기반 암호화 랜섬웨어다.[11] 작업 관리자에서 보면 페트야가 작동 중인 것을 볼 수 있다. 물론 이미 MBR가 변조되어 있으며 강제종료하면 블루스크린이 일어난다.[12] 오류 코드는 c0000350(STATUS_HOST_DOWN)[13] 원래 chkdsk는 윈도우 부팅 과정에서 실행된다.[14] 오래된 윈도우는 보안에 취약한 특성이 있지만 바이러스가 최신 윈도우를 타켓하는 경향도 있다. 워너크라이는 Windows XP부터 정상 실행(?)되며, Windows 2000에서는 일부 증상이 일어나지 않으며 Windows 95에서는 아예 실행되지 않는다. 하지만 낫페트야는 윈도우 XP에서도 실행이 된다.