우선 오늘 오전에 남겼던 포스팅입니다.
Petya 랜섬웨어란?
해당 포스팅시 킬스위치 여부에 대해 '카스퍼스키랩의 인터뷰'가 담긴 기사를 참고하였습니다.
이후 분석결과를 보니, 이미 전날 28일 샘플에서 킬스위치가 도출되었더군요.
사전에 확인하지 못한점 죄송합니다.
킬 스위치(Kill Switch)
- 악성코드를 종료하는 코드.
- 현재 Petya의 경우 MBR 변조 및 파일 암호화 이전에 종료.
동작방법
- 랜섬웨어의 오리지널 파일명이 C:\windows\ 경로에 존재하면 킬 스위치 동작함.
- C:\windows\Perfc
(그러나 Kill Switch가 변경되거나, 존재하지 않는 변종 발생 가능!)
- 같이 읽으면 좋은 기사
좋은 자료입니다. ㅎㅎ
@mrsang 님의 관심에 감사합니다ㅎㅎ