녹두로 0

셰두우브로커스가 4월 공개한 익스플로잇 툴에 기반을 둔 사상 최악의 랜섬웨어라는 “워너크립트 (워너크라이)”가 전세계를 위협하고 있습니다.

현재까지 74개국에서 4만 5천번의 공격을 감행한것으로 알려지고 있으며, 급속히 전파되고 있는 상황입니다.

기존의 랜섬웨어의 경우 이메일에 첨부된 악성코드를 다운로드해서 감연되거나 악성코드가 삽입된 웹사이트 접속 시 감염되는

Drive-by-Download 방식이었으나, 이번에는 네트워크를 통해서 급속도로 감염되는 “네트워크 웜”형식으로 감염과 동시에 공격이 이루어 지고 있습니다.

네트워크 웜 형태로 감염 시 그 확산속도가 엄청나게 빠를뿐 아니라 치료에도 많은 애로점이 있습니다.

즉, 네트워크 상의 PC나 서버가 한대라도 감염되면 즉시 해당 네트워크 상의 접근 가능한 임의의 IP를 스캔하여 랜셈웨어 악성코드를 확산시키고 있기 때문입니다.

14일 16시 10분 현재 한국인터넷진흥원에 따르면 이번 워너크립트 사태로 인해 총 6건의 상담전화가 걸려왔으며 이 중 3건은 실제 워너크립트 감염으로 진단되었습니다.

그러나 아직 주말인지라 본격적인 업무가 시작되는 내일부터는 더 많은 피햬사례가 발생할 것으로 예상하고 있습니다.

이와 관련하여 안랩에서는 해당 랜섬웨어 대처와 관련하여 하기와 같은 대응방안을 금일 오후에 발표하여 홈페이지에 게제하였습니다.

이에 해당 내용 공지드리오니 하기 내용 참고하여 주시기 바랍니다.

저희 폐사에서도 해당 내용과 관련하여 유심히 현황을 파악하여 문제 발생 시 안랩과 함께 바로 응대하여 고객사에 최대한 지원하도록 하겠습니다.

===================================================================================================

출처 : 안랩 홈페이지 (http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50124723)

안녕하세요 안랩입니다.

윈도 OS 보안 취약점을 악용한 워너크립트(WannaCrypt), 일명 워너크라이(WannaCry) 랜섬웨어가 전 세계적으로 빠르게 유포되고 있어 주의가 요망됩니다.

안랩은 현재 V3 제품군과 MDS 제품에서 해당 랜섬웨어의 진단 · 제거 기능을 제공하고 있습니다.
따라서 V3 제품군을 ‘실시간 검사 기능’과 ‘자동 엔진 업데이트 적용’ 상태로 사용하시기를 권장합니다.
또한 Microsoft Windows 최신 보안 패치를 적용하시기를 바랍니다.
 
워너크립트 랜섬웨어 대응 조치와 관련한 자세한 사항은 다음과 같습니다.

 * 대상 랜섬웨어 
 - 워너크립트(WannaCrypt), 일명 워너크라이(WannaCry)
 
* 주요 특징
 - 다양한 문서파일(doc, ppt, hwp 등) 외 다수의 파일을 암호화 (암호화된 파일의 확장자: WNCRY 또는 .WNCRYT)
 - 윈도 OS 보안취약점(MS17-010) 악용하여 네트워크 전파 수행
 
* 안랩 대응현황

 - V3 : WannaCrypt 진단/제거 (Trojan/Win32.WannaCryptor 외 다수)
 - MDS : WannaCrypt 행위차단 (Suspicious/MDP.Behavior, Malware/MDP.Create)

* 보안패치가 필수인 Windows OS

 Windows XP
 Windows Vista
 Windows 7
 Windows 8.1
 Windows 10
 Windows Server 2003
 Windows Server 2008
 Windows Server 2012
 Windows Server 2016
 
* OS 별 패치 정보: Microsoft 홈페이지의 security bulletins 정보

국문 - https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

영문 - https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 
* 서비스 만료 OS의 패치 제공
MS는 지원이 만료되어 보안패치를 제공하지 않았던 XP, Win8, Server2003 등의 OS에 대해서도 보안패치를 제공합니다.

아래 보안패치 제공 URL에서 각 OS에 맞는 보안패치를 적용하십시오. 

- Microsoft Update 전체 목록

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 

- OS별 보안패치 바로가기
Security Update for Windows XP SP2 for x64-based Systems (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55250
 
Security Update for Windows XP SP3 (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55245
 
Security Update for Windows Server 2003 (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55248
 
Security Update for Windows Server 2003 for x64-based Systems (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55244
 
Security Update for Windows XP SP3 for XPe (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55247
 
Security Update for Windows 8 (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55246
 
Security Update for Windows 8 for x64-based Systems (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55249

*붙임. 감염 경로 차단 방법(방화벽 설정 변경)

□ 기타 해결 방안(아래 버전을 사용하는 경우, 다음과 같은 방안으로도 해결 가능)
   ㅇ Windows Vista 또는 Windows Server 2008 이상 사용자
       시작 -> 'Windows Powershell' 입력 -> 우클릭 -> 관리자 권한으로 실행 ->
      ① set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB1 -Type DWORD -Value 0 -Force
      ② set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB2  -Type DWORD -Value 0 -Force

   ㅇ Windows 8.1 또는 Windows Server 2012 R2 이상 사용자
       클라이언트 운영체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제
                                        -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작 
       서버 운영체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제
                                        -> 확인 -> 시스템 재시작

l  조치 방법

①    사용하고 있는 백신 소프트웨어를 최신으로 업데이트하고 시스템을 검사합니다.

만일 설치된 백신 소프트웨어가 없다면 Microsoft 백신 소프트웨어를 이용하십시오.
Windows Defender 와 Microsoft Anti-Malware 제품의 최신 엔진 버전 1.243.290.0 에서 Ransom:Win32/WannaCrypt 로 해당 맬웨어가 차단됩니다.

-       Windows 8.1 및 Windows 10 : Windows Defender 이용

-       Windows 7, Windows Vista: Microsoft Security Essentials 이용

-       Microsoft 무료 PC보안 검사 : Microsoft Safety Scanner 이용

②    Windows Update 또는 WSUS등을  이용하여 시스템을 최신으로 보안 업데이트 합니다.
WU을 사용할 수 없는 경우, Microsoft 보안 업데이트 MS17-010 를 수동 설치합니다. OS별 설치 경로는 아래와 같습니다.

Microsoft 보안 공지 MS17-010 – 긴급 Microsoft Windows SMB 서버용 보안 업데이트(4013389)

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

③     보안 업데이트 MS17-010을 적용할 수 없다면, ‘Microsoft SMBv1 사용 안함’으로 설정합니다. 
WannaCry 랜섬웨어는 Microsoft SMBv1 원격 코드 실행 취약점(CVE-2017-0145) 을 이용합니다. 패치를 설치하지 못하는 경우 SMBv1 사용을 해제하여 이 취약점 악용을 피할 수 있으나 가능한 빠른 시일내에 패치를 적용할 것을 권장합니다.

[SMBv1 사용 안 함]

Windows Vista 이상을 실행하는 고객 
Microsoft 기술 자료 문서 2696547을 참조하십시오.

Windows 8.1 또는 Windows Server 2012 R2 이상을 실행하는 고객의 대안 방법 
클라이언트 운영 체제:

1.     제어판을 열고 프로그램을 클릭한 후 Windows 기능 사용/사용 안 함을 클릭합니다.

2.     Windows 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫습니다.

3.     시스템을 다시 시작합니다. 

서버 운영 체제:

4.     서버 관리자를 열고 관리 메뉴를 클릭한 후 역할 및 기능 제거를 선택합니다.

5.     기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫습니다.

6.     시스템을 다시 시작합니다. 

해결 방법의 영향. 대상 시스템에서 SMBv1 프로토콜이 사용되지 않도록 설정됩니다.
해결 방법을 실행 취소하는 방법. 문제 해결 단계를 다시 수행하면서 SMB1.0/CIFS 파일 공유 지원 기능을 활성 상태로 복원합니다.

④     네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
- SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
  ※ SMB 서비스 포트 차단 시 공유 및 기타 관련 서비스가 중지될 수 있으니 적용 전 반드시 영향이 없는지 점검하신 후 적용하시기 바랍니다.

- 관련 문서 : KB 3185535 - 특정 방화벽 포트를 차단하여 SMB 트래픽이 회사 환경을 빠져나가지 못하도록 하기 위한 지침

• WannaCry  랜섬웨어 감영 증상
  .WNCRY 파일이 추가되며, 다음과 같은 파일이 표시됩니다.
  r.wnry , s.wnry, t.wnry , taskdl.exe , taskse.exe , 00000000.eky , 00000000.res , 00000000.pky , @[email protected] , @[email protected] , @[email protected] 
  
  다음과 같은 메시지가 화면에 표시됩니다.
  
  
  

아래 파일 확장자를 가진 파일들을 암호화 합니다.