[디지털투데이 박근모 기자] 워너크라이 랜섬웨어 이후 전세계 전역에서 페트야 랜섬웨어로 인한 피해가 발생하고 있다. 지금까지 호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인을 포함한 총 10개 국가에서 페트야 랜섬웨어가 탐지됐다. 

아직 국내에는 페트야 랜섬웨어로 인한 피해 사례는 발생하지 않은 것으로 확인됐지만, 유사 변종 랜섬웨어의 유포 가능성도 큰 것으로 나타나 보안업계에서는 대비책 마련에 분주한 상태다.

이에 파이어아이는 공격자 행위와 동원한 기법 분석을 마친 후 변종 페트야 랜섬웨어에 대응하기 위한 야라(YARA) 룰을 공개했다. 

야라 룰은 악성코드를 식별하는 오픈소스 프로젝트 도구로 악성코드의 파일, 프로세스에 포함된 문자열이나 패턴(시그니처)를 이용해 악성코드를 식별·분류할 수 있다.

파이어아이는 공개한 야라 룰을 통해 현재 환경에 침투한 멀웨어를 찾거나 미래 활동을 탐지 할 수 있다고 밝혔다.

특히 파이어아이는 SMB 드라이브 사용량, 보상금 요구에 사용된 언어, 기본 기능 및 API, 측면 확산에 사용되는 시스템 유틸리티 등 멀웨어 공격에 핵심이 되는 악성 공격자 기법에 중점을 두고 야라 룰을 생성한 것으로 알려졌다. 또한 해당 야라 룰은 조직의 필요에 따라 임계 값을 수정 후 활용할 수 있다.