랜섬웨어 워너크라이 예방법!!

    TIP/PC 2017. 5. 14. 00:58

     

    랜섬웨어 워너크라이 예방법!!

     

     

    12일 램섬웨어 파일 복구에 대한 포스팅을 올린후 "랜섬웨어"가 네이버, 다음의 실시간 검색어 상위권을 기록하며 하루만에 비상이 걸렸네요.

    이번엔 "워너크라이" 라는 랜섬웨어로 인터넷이 연결만 되어있어도 감염이 될 수 있으니 더욱 각별히 주의를 해야 할것 같아요. 전세계 12만건 이상을 기록하며 기존의 크립토락커와 마찬가지로 파일을 암호화 시킨 후 300~600달러 상당의 비트코인을 요구하는 악성 프로그램 입니다. 한국어, 영어를 포함하여 다국적 언어를 지원하며 특히 러시아, 영국, 유럽, 인도, 미국, 대만 등에 다수 퍼져있으며 한국, 일본, 중국도 감염사례가 발생하고 있으니 안심할수 없는 상황이에요.

     

     

    보호나라

     

    전세계적인 미래창조 과학부에서 운영하는 "보호나라" 사이트에서 워너크라이에 대한 각별한 주의와 예방법을 제시하고 있어요.

     SMB 취약점을 이용한 랜섬웨어 공격 주의 권고

    □ 개요
     o SMB 원격코드실행 취약점 악용한 랜섬웨어 악성코드 공격이 전세계적으로 보고되고 있어 주의 필요
     o 악용된 취약점은 Windows 최신 버전에서는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드 권고
     
    □ 주요 내용
     o Microsoft Windows의 SMB 원격코드실행 취약점('17.3.14 패치발표, MS17-010) 악용하여 랜섬웨어 악성코드 유포
       - 패치 미적용 시스템에 대해 취약점을 공격하여 랜섬웨어 악성코드(WannaCry) 감염시킴
     o 랜섬웨어 악성코드(WannaCry) 특징
       - 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화
       - 비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원
     
    □ 영향을 받는 시스템
     o Windows 10
      o Windows 8.1
      o Windows RT 8.1
      o Windows 7
      o Windows Server 2016
      o Windows Server 2012 R2
      o Windows server 2008 R2 SP1 SP2
     
     □ 해결 방안
     o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로 버전 업그레이드 및 최신 보안패치 적용
     o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고
       ① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
            ※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
       ② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
         - (Windows Vista 또는 Windows Server 2008 이상)
              모든 운영 체제 : ▼자세한 설명▼

    시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 ->

    set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –Type DWORD –Value 0 –Force

    set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –Type DWORD –Value 0 –Force

          - (Windows 8.1 또는 Windows Server 2012 R2 이상)
              클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작
              서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템 재시작
       ③ (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경
       ④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화
     
    □ 용어 정리
     o SMB(Server Msessage Block) : Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식
     
    □ 기타 문의사항
     o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
     
     [참고사이트]
     [1] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
     [2] https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
     [3] https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware

     

    SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법 

    □ 개요
     o 최근 윈도우 SMB의 취약점을 악용한 WannaCry 랜섬웨어의 확산에 따라 피해 예방을 위한 사용자의 적극적인 대처 당부
     
    □ 주요 특징
     o WannaCry 랜섬웨어는 윈도우가 설치된 PC 및 서버를 대상으로 감염시키는 네트워크 웜(자가 전파 악성코드) 형태이며, 윈도우 SMB 취약점을 이용
     o PC 또는 서버가 감염된 경우 네트워크를 통해 접근 가능한 임의의 IP를 스캔하여 랜섬웨어 악성코드를 확산시키는 특징을 보이므로 감염과 동시에 공격에 악용됨
     
    □ 예방 방법
     ① PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능 해제
         ※ 파일 공유 기능 해제 방법은 KrCERT 보안 공지문[1] 참고
     ② 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사
     ③ 윈도우 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트[2] 수행
         ※ 특히 인터넷에 오픈된 윈도우 PC 또는 서버의 경우 우선적인 최신 패치 적용 권고
     
    □ 기타 문의사항
     o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
     
     [참고사이트]
      [1] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703
      [2] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25704

     

     

    모든 운영 체제 보충 설명

    "시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 ->"

    set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –Type DWORD –Value 0 –Force

    set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –Type DWORD –Value 0 –Force

    위 문구를 복사해서 Windows PowerShell에 붙여넣으면 되는데 일반적인 Ctrl+V는 안되요. 마우스 우클릭을 하면 붙여넣어집니다. 혹시 오류가 나는분은 띄어쓰기나 줄바꿈이 되어있는지 메모장에 붙여서 확인해보세요.

     

    윈도우7은 저처럼 Windows 기능에 "SMB1.0/CIFS 파일 공유 지원" 부분이 없는 경우가 있는데 이럴때도 마찬가지로 위에있는 Windows PowerShell 방법을 활용해서 SMB 프로토콜을 비활성화 하면 되요.

     

     

    다행히 13일 오후를 기점으로 "@mealwaretechblog"라는 트위터 계정을 사용하는 보안 전문가가 워너크라이 랜섬웨어의 킬 스위치를 발견했다고 해요. 워너크라이가 특정 도메인으로 계속 접속을 시도하는데 이 도메인이 실제로 존재하지 않았고, 워너크라이의 정보를 분석하기 위해 도메인을 등록한 순간 랜섬웨어의 확산이 중단되었다고 합니다.

    이는 워너크라이 제작자가 언제든 확산을 중지 할 수 있도록 도메인 이름으로 된 스위치를 포함해 놓은것으로 추정되었다고 해요.

    보안 전문가는 워너크라이가 중단될 것인지 모른체 분석을 위해 도메인을 등록했다가 우연히 랜섬웨어를 잡았다고 하네요. 하지만 언제든 변종 랜섬웨어가 발생할 수 있으니 예방에 주의 해야하며 확산이 중지된것 뿐이지 감염된 컴퓨터가 치료된것은 아니니 예방에 각별한 주의를 해야 할것 같아요.

     

    킬 스위치로 멈추었던 워너크라이가 재가동 되었습니다. 월요일 많은 피해가 우려되어 추가 예방법을 포스팅 했으니 확인하고 각별히 주의하시기 바래요.

     

     

    저작자표시
    'TIP/PC' 관련 글 more
    Posted by 옹봉이

티스토리툴바