컨텐츠 바로가기 영역
본문으로 바로가기

고객 지원 서비스의 차이가
곧 품질입니다.

365일 24시간 전문 서비스를 제공하는 기업메일 메일나라

  • 고객 지원
  • 공지사항

[공지] WannaCry(워너크라이) 랜섬웨어 대응 방법 안내

2017-05-16

안녕하세요. 삼정데이타서비스㈜입니다.

전세계적으로 피해를 준 wannacry 램섬웨어의 공격에 관해 안내말씀드립니다.

WannaCry 랜섬웨어 는 Microsoft 보안 업데이트를 적용하지 않은 환경의 Windows 취약점을 악용한 것으로, 2017년 3월 발표된 Microsoft 보안 업데이트 [MS17-010 Microsoft Windows SMB 서버용 보안 업데이트(4013389)]에서 이미 이 취약점이 해결되어 MS17-010 보안 업데이트 적용하면 공격을 예방할 수 있으며, 또한 해당 업데이트가 이미 적용된 Windows 시스템은 이번 공격에서 안전합니다.

아래의 WannaCry 대응 방법을 안내드리오니 고객사님께서는 피해가 없으시기를 바랍니다.
감사합니다.

■ 랜섬웨어(Ransomware)란?

컴퓨터 사용자의 파일을 인질로 금전을 요구하는 악성 프로그램으로 몸값을 뜻하는 랜섬(Ransom)과 소프웨어(Software)의 합성어입니다.
컴퓨터에 저장된 문서를 암호화해서 열지 못하도록 만든 후 돈을 보내주면 암호 파일을 보내주겠다고 금품을 요구하는 악성 프로그램입니다.
돈을 보내더라도 복구가 확실치 않으므로 사전 예방이 중요합니다.

■ Wannacry 랜섬웨어 대응방법

① 사용하고 있는 백신 소프트웨어를 최신으로 업데이트하고 시스템을 검사합니다. 만일 설치된 백신 소프트웨어가 없다면 Microsoft 백신 소프트웨어를 이용하십시오. Windows Defender 와 Microsoft Anti-Malware 제품의 최신 엔진 버전 1.243.290.0 에서 Ransom:Win32/WannaCrypt 로 해당 맬웨어가 차단됩니다.

- Windows 8.1 및 Windows 10 : Windows Defender 이용
- Windows 7, Windows Vista: Microsoft Security Essentials 이용
- Microsoft 무료 PC보안 검사 : Microsoft Safety Scanner 이용


② Windows Update 또는 WSUS등을 이용하여 시스템을 최신으로 보안 업데이트 합니다.WSUS을 사용할 수 없는 경우, Microsoft 보안 업데이트 MS17-010 를 수동 설치합니다.
- [긴급] Microsoft Windows SMB 서버용 보안 업데이트(4013389)
(https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx)

③ 보안 업데이트 MS17-010을 적용할 수 없다면, ‘Microsoft SMBv1 사용 안함’으로 설정합니다. WannaCry 랜섬웨어는 Microsoft SMBv1 원격 코드 실행 취약점(CVE-2017-0145) 을 이용합니다. 패치를 설치하지 못하는 경우 SMBv1 사용을 해제하여 이 취약점 악용을 피할 수 있으나 가능한 빠른 시일내에 패치를 적용할 것을 권장합니다.

[SMBv1 사용 안 함으로 설정]
- Windows Vista 이상을 실행하는 고객은 Microsoft 기술 자료 문서 2696547을 참조하십시오.
- Windows 8.1 또는 Windows Server 2012 R2 이상을 실행하는 고객의 대안 방법

클라이언트 운영체제 서버 운영 체제
1. 제어판을 열고 프로그램을 클릭한 후 Windows 기능 사용/사용 안 함을 클릭합니다.
2. Windows 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫습니다.
3. 시스템을 다시 시작합니다.
1. 서버 관리자를 열고 관리 메뉴를 클릭한 후 역할 및 기능 제거를 선택합니다.
2. 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫습니다.
3. 시스템을 다시 시작합니다.

※ 위방법대로 설정시 시스템에서 SMBv1 프로토콜이 사용되지 않도록 설정됩니다.
※ 위설정을 취소는 다시동일한 과정에서 2번의 공유지원기능을 활성 상태로 복원합니다.

④ 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단합니다.
- SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)

※ SMB 서비스 포트 차단 시 공유 및 기타 관련 서비스가 중지될 수 있으니 적용 전 반드시 영향이 없는지 점검하신 후 적용하시기 바랍니다.

관련문서 : KB 3185535 - 특정 방화벽 포트를 차단하여 SMB 트래픽이 회사 환경을 빠져나가지 못하도록 하기 위한 지침

■ Wannacry 랜섬웨어 감염증상

.WNCRY 파일이 추가되며, 다음과 같은 파일이 표시됩니다.
r.wnry , s.wnry, t.wnry , taskdl.exe , taskse.exe , 00000000.eky , 00000000.res , 00000000.pky , @WanaDecryptor@.exe , @Please_Read_Me@.txtm.vbs , @WanaDecryptor@.exe.lnk



아래 파일 확장자를 가진 파일들을 암화화 합니다.

.123

 .jpeg

 .rb

 .accdb

 .m3u

 .sln

 .avi

 .mov

 .stw

.602

 .jpg

 .rtf

 .aes

 .m4u

 .snt

 .backup

 .mp3

 .suo

.doc

 .js

 .sch

 .ai

 .max

 .sql

 .bak

 .mp4

 .svg

 .3dm

 .jsp

 .sh

 .ARC

 .mdb

 .sqlite3

 .bat

 .mpeg

 .swf

 .3ds

 .key

 .sldm

 .asc

 .mdf

 .sqlitedb

 .bmp

 .mpg

 .sxc

 .3g2

 .lay

 .sldm

 .asf

 .mid

 .stc

 .brd

 .msg

 .sxd

 .3gp

 .lay6

 .sldx

 .asm

 .mkv

 .std

 .bz2

 .myd

 .sxi

 .7z

 .ldf

 .slk

 .asp

 .mml

 .sti

 .c

 .myi

 .sxm

 .cgm

 .nef

 .sxw

 .cmd

 .odg

 .tbk

 .cs

 .odt

 .tiff

 .class

 .odb

 .tar

 .cpp

 .odp

 .tgz

 .csr

 .onetoc2

 .txt

 .dbf

 .otp

 .vb

 .crt

 .ods

 .tif

 .csv

 .ost

 .uop

 .dch

 .ots

 .vbs

 .dip

 .PAQ

 .vmdk

 .db

 .otg

 .uot

 .der"

 .ott

 .vcd

 .djvu

 .pas

 .vmx

 .docm

 .pem

 .vsd

 .dif

 .p12

 .vdi

 .docb

 .pdf

 .vob

 .docx

 .pfx

 .vsdx

 .dot

 .php

 .wav

 .flv

 .pps

 .xlm

 .ibd

 .psd

 .xltx

 .dotm

 .pl

 .wb2

 .frm

 .ppsm

 .xls

 .iso

 .pst

 .xlw

 .dotx

 .png

 .wk1

 .gif

 .ppsx

 .xlsb

 .jar

 .rar

 .zip

 .dwg

 .pot

 .wks

 .gpg

 .ppt

 .xlsm

 .edb

 .potm

 .wma

 .gz

 .pptm

 .xlsx

 .eml

 .potx

 .wmv

 .h

 .pptx

 .xlt

 .fla

 .ppam

 .xlc

 .hwp

 .ps1

 .xltm

 .java

 .raw

 



■ 추가정보

- Microsoft Security Response Center Blog, Customer Guidance for WannaCrypt attacks (https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks)

- Microsoft Malware Protection Center Blog, WannaCrypt ransomware worm targets out-of-date systems
(https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems)

- Microsoft 보안 공지 MS17-010 ? 긴급 Microsoft Windows SMB 서버용 보안 업데이트(4013389)
(https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx)

- CVE-2017-0145 | Windows SMB 원격 코드 실행 취약성
(https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2017-0145)

■ 문의사항

- Microsoft 고객 지원 센터 : 1577-9700
- 프리미엄 기술 지원을 받고 있는 고객께서는 담당TAM(기술 담당 관리자)로 문의주시기 바랍니다.
TOP