[공지] WannaCry(워너크라이) 랜섬웨어 대응 방법 안내
2017-05-16
■ 랜섬웨어(Ransomware)란?
컴퓨터에 저장된 문서를 암호화해서 열지 못하도록 만든 후 돈을 보내주면 암호 파일을 보내주겠다고 금품을 요구하는 악성 프로그램입니다.
돈을 보내더라도 복구가 확실치 않으므로 사전 예방이 중요합니다.
■ Wannacry 랜섬웨어 대응방법
① 사용하고 있는 백신 소프트웨어를 최신으로 업데이트하고 시스템을 검사합니다. 만일 설치된 백신 소프트웨어가 없다면 Microsoft 백신 소프트웨어를 이용하십시오. Windows Defender 와 Microsoft Anti-Malware 제품의 최신 엔진 버전 1.243.290.0 에서 Ransom:Win32/WannaCrypt 로 해당 맬웨어가 차단됩니다. - Windows 8.1 및 Windows 10 : Windows Defender 이용 - Windows 7, Windows Vista: Microsoft Security Essentials 이용 - Microsoft 무료 PC보안 검사 : Microsoft Safety Scanner 이용 ② Windows Update 또는 WSUS등을 이용하여 시스템을 최신으로 보안 업데이트 합니다.WSUS을 사용할 수 없는 경우, Microsoft 보안 업데이트 MS17-010 를 수동 설치합니다. - [긴급] Microsoft Windows SMB 서버용 보안 업데이트(4013389) (https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx) ③ 보안 업데이트 MS17-010을 적용할 수 없다면, ‘Microsoft SMBv1 사용 안함’으로 설정합니다. WannaCry 랜섬웨어는 Microsoft SMBv1 원격 코드 실행 취약점(CVE-2017-0145) 을 이용합니다. 패치를 설치하지 못하는 경우 SMBv1 사용을 해제하여 이 취약점 악용을 피할 수 있으나 가능한 빠른 시일내에 패치를 적용할 것을 권장합니다. [SMBv1 사용 안 함으로 설정] - Windows Vista 이상을 실행하는 고객은 Microsoft 기술 자료 문서 2696547을 참조하십시오. - Windows 8.1 또는 Windows Server 2012 R2 이상을 실행하는 고객의 대안 방법
| 클라이언트 운영체제 | 서버 운영 체제 |
|---|---|
|
1. 제어판을 열고 프로그램을 클릭한 후 Windows 기능 사용/사용 안 함을 클릭합니다. 2. Windows 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫습니다. 3. 시스템을 다시 시작합니다. |
1. 서버 관리자를 열고 관리 메뉴를 클릭한 후 역할 및 기능 제거를 선택합니다. 2. 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫습니다. 3. 시스템을 다시 시작합니다. |
※ 위방법대로 설정시 시스템에서 SMBv1 프로토콜이 사용되지 않도록 설정됩니다.※ 위설정을 취소는 다시동일한 과정에서 2번의 공유지원기능을 활성 상태로 복원합니다.
④ 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단합니다. - SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)※ SMB 서비스 포트 차단 시 공유 및 기타 관련 서비스가 중지될 수 있으니 적용 전 반드시 영향이 없는지 점검하신 후 적용하시기 바랍니다.
관련문서 : KB 3185535 - 특정 방화벽 포트를 차단하여 SMB 트래픽이 회사 환경을 빠져나가지 못하도록 하기 위한 지침■ Wannacry 랜섬웨어 감염증상
.WNCRY 파일이 추가되며, 다음과 같은 파일이 표시됩니다.
r.wnry , s.wnry, t.wnry , taskdl.exe , taskse.exe , 00000000.eky , 00000000.res , 00000000.pky , @WanaDecryptor@.exe , @Please_Read_Me@.txtm.vbs , @WanaDecryptor@.exe.lnk
아래 파일 확장자를 가진 파일들을 암화화 합니다.
|
.123 |
.jpeg |
.rb |
.accdb |
.m3u |
.sln |
.avi |
.mov |
.stw |
|
.602 |
.jpg |
.rtf |
.aes |
.m4u |
.snt |
.backup |
.mp3 |
.suo |
|
.doc |
.js |
.sch |
.ai |
.max |
.sql |
.bak |
.mp4 |
.svg |
|
.3dm |
.jsp |
.sh |
.ARC |
.mdb |
.sqlite3 |
.bat |
.mpeg |
.swf |
|
.3ds |
.key |
.sldm |
.asc |
.mdf |
.sqlitedb |
.bmp |
.mpg |
.sxc |
|
.3g2 |
.lay |
.sldm |
.asf |
.mid |
.stc |
.brd |
.msg |
.sxd |
|
.3gp |
.lay6 |
.sldx |
.asm |
.mkv |
.std |
.bz2 |
.myd |
.sxi |
|
.7z |
.ldf |
.slk |
.asp |
.mml |
.sti |
.c |
.myi |
.sxm |
|
.cgm |
.nef |
.sxw |
.cmd |
.odg |
.tbk |
.cs |
.odt |
.tiff |
|
.class |
.odb |
.tar |
.cpp |
.odp |
.tgz |
.csr |
.onetoc2 |
.txt |
|
.dbf |
.otp |
.vb |
.crt |
.ods |
.tif |
.csv |
.ost |
.uop |
|
.dch |
.ots |
.vbs |
.dip |
.PAQ |
.vmdk |
.db |
.otg |
.uot |
|
.der" |
.ott |
.vcd |
.djvu |
.pas |
.vmx |
.docm |
.pem |
.vsd |
|
.dif |
.p12 |
.vdi |
.docb |
|
.vob |
.docx |
.pfx |
.vsdx |
|
.dot |
.php |
.wav |
.flv |
.pps |
.xlm |
.ibd |
.psd |
.xltx |
|
.dotm |
.pl |
.wb2 |
.frm |
.ppsm |
.xls |
.iso |
.pst |
.xlw |
|
.dotx |
.png |
.wk1 |
.gif |
.ppsx |
.xlsb |
.jar |
.rar |
.zip |
|
.dwg |
.pot |
.wks |
.gpg |
.ppt |
.xlsm |
.edb |
.potm |
.wma |
|
.gz |
.pptm |
.xlsx |
.eml |
.potx |
.wmv |
.h |
.pptx |
.xlt |
|
.fla |
.ppam |
.xlc |
.hwp |
.ps1 |
.xltm |
.java |
.raw |
|
■ 추가정보
- Microsoft Security Response Center Blog, Customer Guidance for WannaCrypt attacks (https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks)- Microsoft Malware Protection Center Blog, WannaCrypt ransomware worm targets out-of-date systems
(https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems)
- Microsoft 보안 공지 MS17-010 ? 긴급 Microsoft Windows SMB 서버용 보안 업데이트(4013389)
(https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx)
- CVE-2017-0145 | Windows SMB 원격 코드 실행 취약성
(https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2017-0145)