랜섬웨어 워너크립터(WannaCryptor) 대란 대비하기

2017-05-15
일상

작성일자: 2017-05-15 01:26:36
최종수정: 2017-05-15 04:01:23
Link: http://blog.jeehooo.net/15



  


최근 며칠 사이에 랜섬웨어 때문에 난리가 났다.
워너크립터(Wanna Cryptor) 라는 랜섬웨어 때문에 이 난리가 났는데,
이 놈이 기존 랜섬웨어처럼 플래시 취약점이나 특정 파일 실행으로 작동하는게 아닌
윈도우 내 SMB(파일 공유) 취약점을 통해 들어온다고 한다.

덕분에 영화관 디스플레이같은 PC가 들어있는 기기들도 예외없이 당해버렸다는데...




▲친구 페이스북에 올라온 사진. 전용 VPN으로 연결되어 있는 오락실 게임기 마저 이번 사태에서 자유롭지 않았다고...




이번 랜섬웨어는 아무 것도 안 해도 자기 혼자 침투해서 엿을 먹인다는 특징이 있다.
이놈이 올해 3월 발견된 윈도우의 SMB 취약점을 통해 들어오기 때문에,
업데이트가 되지 않은 윈도우PC를 대상으로 전염된다고 한다.
원인이 SMB이기 때문에 가장 먼저 해볼 방법 역시 SMB 기능을 막는 것이다.


Windows 7 기준으로...
1. [시작] - [제어판] - [시스템 및 보안] - [Windows 방화벽] - [고급 설정] 으로 들어가면
"고급 보안이 포함된 Windows 방화벽"이라는 창이 열린다.




2. 인바운드 규칙으로 들어가서 [새 규칙] 버튼을 눌러 규칙을 추가한다.
차단할 규칙은 "포트",  TCP 139,445 포트를 차단시킨다.
규칙 이름 물어보면 알아보기 쉽게 적당히 붙여준다...




3. Windows 업데이트를 돌린다. 최신 버전까지 몽땅.
필자의 경우 1년치 업데이트를 한꺼번에 설치하는데 2~3시간 정도가 소요됐다.




-잡다한 팁-

1.
다른 운영체제의 경우에도 방법의 차이가 조금씩 있지만,
SMB 관련 서비스를 종료/차단 시키고 업데이트를 하는 방식은 동일하다.
특히 이번엔 좀 사태가 심각하다보니,
마이크로소프트 사에서도 윈도우XP 등 지원 중단된 OS까지 패치를 해준다 하니
혹시나 XP 유저가 있다면 자동 업데이트 기능을 켜두는 것이 좋아보인다.


2.
나스(NAS) 유저들의 경우 SMB를 차단하게 되면 네트워크 폴더 및 탐색기에 추가한 네트워크 드라이브접근이 안된다.
나스 공유폴더 접근이 필요할 경우 SMB 차단 예외 규칙에 내부 네트워크를 추가하던지,
사태가 잠잠해질 때 까지 다른 접속방법(전용 클라이언트, 웹 버전, FTP 등)으로 접속하는게 좋을 것이다.


3. 
이렇게 대처해도 100% 안전하지 않을 수 있으니,
정말 중요한 자료가 들어있는 컴퓨터는 인터넷과 완전히 차단시켜놓으면 확실하다.
어떤 해킹 수단이라도 물리적인 차단은 뚫을 수 없으니까...


4. 
만약 그 컴퓨터에서 인터넷을 어쩔 수 없이 써야 한다면
"외장형" 저장장치(USB메모리, 외장하드 등)에 중요한 자료들을 복사해놓는다.
D드라이브 역시 랜섬웨어의 먹잇감이 될 수 있다.
나스에 복사할 경우 복사한 후 네트워크 드라이브 설정을 해제하거나 원격 쓰기 권한을 빼놓을 것.


5. 
공CD나 공DVD 에 자료를 굽는 것도 하나의 방법이 될 수 있다.
CD-R 이나 DVD-R 은 한 번 기록하면 수정하는 것이 물리적으로 불가능하기 때문.


6. 
컴퓨터랑 인터넷도 당장 써야 하고, 자료 백업할 USB,외장하드도 없고 주변에 CD파는 곳도 없다?
C:\Windows\system32 밑에 폴더를 하나 만들어놓고
중요한 파일들을 옮겨넣고 압축한 후 확장자를 .wcry 로 바꿔버린다.
랜섬웨어가 system32 하위폴더와 wcry파일(워너크립터 암호화 파일의 확장자)을 건드리지 않는 다는 점을 이용한 꼼수.
이 방법은 검증된 방법이 아니니 정말 중요한 파일이라면 이 방법을 절대 따라하면 안된다.






아래는 한국인터넷진흥원에서 배포하는 랜섬웨어 예방 요령 자료.
출처: 보호나라 (http://boho.or.kr/)

 



















□ 기타 해결 방안(아래 버전을 사용하는 경우, 다음과 같은 방안으로도 해결 가능)
   ㅇ Windows Vista 또는 Windows Server 2008 이상 사용자
       시작 -> 'Windows Powershell' 입력 -> 우클릭 -> 관리자 권한으로 실행 ->
      ① set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB1 -Type DWORD -Value 0 -Force
      ② set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB2  -Type DWORD -Value 0 -Force

   ㅇ Windows 8.1 또는 Windows Server 2012 R2 이상 사용자
       클라이언트 운영체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제
                                        -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작 
       서버 운영체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제
                                        -> 확인 -> 시스템 재시작