Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

profile IT정보 악성코드 분석 리포트

작성자: 엔돌핀 조회 수: 4791 PC모드

URL 링크 : http://blog.alyac.co.kr/1093 

악성코드 분석 리포트

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안

252C084959181779448219


안녕하세요. 이스트시큐리티입니다.

5월 12일부터 전세계로 급속히 유포되고 있는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 대한 내용을 정리했습니다. 또한 사전조치 방안에 대해 공유 드리며, 피해를 최소화 하고자 알약 워너크라이(WannaCry) 예방 조치툴을 개발하였으니 필요한 경우 툴을 내려받아 조치해주시길 부탁 드립니다. 



 알약 워너크라이(WannaCry) 예방 조치툴 다운로드 하기

 알약 워너크라이(WannaCry) 예방 조치툴 내용 자세히 보기



**이스트시큐리티에서는 해당 랜섬웨어 초동 대응에 Wcry, Wana Decrypt0r 등 여러가지 이름을 혼용해 사용했습니다. 사용자의 혼돈을 최소화하기 위해 앞으로는 워너크라이(WannaCry)/워너크립터(WannaCryptor)로 명칭을 통일하는 점 참고 부탁 드립니다.



워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어란?


2017년 5월 12일부터 Windows SMB 취약점을 악용한 유포되기 시작한 랜섬웨어입니다.

해당 랜섬웨어는 다국적 언어를 지원하며 지원언어에는 한국어도 포함되어 있습니다. 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 감염되면, 파일 확장자를 ".WNCRY”으로 변경하고, 랜섬머니로 300달러 이상 가치의 비트코인을 요구합니다.

(변종의 경우는 파일확장자나 요구하는 랜섬머니의 금액이 조금씩 달라집니다.)


또한 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 네트워크를 타고 전파되기 때문에, 한대의 PC가 감염되면 같은 네트워크에 SMB취약점이 존재하는 PC들이 모두 감염될 가능성이 있어 특별히 더 주의를 기울여야 합니다.


현재 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 Wcry, Wana Decrypt0r, WannaCry, Wanna Crypt 등 다양한 이름으로 불리우고 있으며 모두 같은 랜섬웨어 이슈를 언급하는 것으로 혼동 없으시길 바랍니다.



워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염 원인


Microsoft Windows의 SMB 취약점을 통해 동일 네트워크상에서 급격히 감염이 이뤄지고 있습니다. 2017년 3월에 업데이트된 MS의 보안패치를 설치하지 않았다면 인터넷에 연결된 것만으로도 감염될 가능성이 있습니다.


* SMB(Server Message Block) : 마이크로소프트 윈도우 운영체제(OS)에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식



워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염예방을 위한 조치방법


일반 사용자 


1. 인터넷 연결을 일단 해제하고, 주요자료를 가능하면 별도 오프라인매체에 백업합니다.

 관련 상세내용은 여기 참조


2. 백업이 완료되면, 다시 인터넷을 연결하고 윈도 보안패치를 최신으로 업데이트합니다.

 윈도우 보안 업데이트 방법 보러가기 


3. 알약 워너크라이(WannaCry) 예방 조치툴을 사용하여 이번 공격에 악용되는 포트를 차단합니다. 

알약 워너크라이(WannaCry) 예방 조치툴 다운로드


4. 랜섬웨어 공격을 방어할 수 있는 백신과 같은 보안솔루션을 활용합니다.



▲ 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 차단 영상 


※ 전산/서버 담당자 


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 미국, 영국, 중국 그리고 한국 등을 포함한 100여개 국가에서 유포되고 있습니다. 공격자는 윈도 시스템에서 기본적으로 오픈되어 있도록 설정된 445 포트를 주로 악용하여, 기업 및 학교 내부망에 침투하는 것으로 보입니다.


특히 해당 랜섬웨어는 악성 첨부파일을 다운로드하여 열어보거나, 취약한 웹사이트나 배너에 노출되지 않았음에도 불구하고 어떤 네트워크상에 있는 시스템이 1대라도 감염되면, 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결되어 있는 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적입니다. 이는 웜 바이러스의 특성을 함께 지니고 있는, 기존에 볼 수 없었던 웜과 랜섬웨어의 결합형이라고 볼 수 있습니다.


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 한국어를 포함해 다양한 국가의 언어를 지원하고 있으며, 암호화된 데이터를 복호화하는 댓가로 300달러 혹은 변종에 따라 다양한 가격의 비트코인을 요구합니다.


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 취약점은 Microsoft Windows SMB 원격 임의코드실행취약점 (MS17-010)으로, SMB version1 서버에 존재하는 취약점을 악용합니다. 공격자는 원격에서 특수하게 제작된 패킷을 통해 해당 취약점을 악용하여 임의의 코드를 실행합니다.


해당 취약점에는 다음과 같은 CVE가 포함되어 있습니다.


CVE-2017-0143

CVE-2017-0144

CVE-2017-0145

CVE-2017-0146

CVE-2017-0147

CVE-2017-0148


또한 이 취약점에 영향을 받는 Windows OS 버전은 다음과 같습니다.


Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8.1

Windows Server 2012 and Windows Server 2012 R2

Windows RT 8.1

Windows 10

Windows Server 2016

Windows Server Core installation option


MS에서는 해당 SMB 취약점에 대해 이미 지난 3월 14일에 패치를 진행했습니다. 그러나 현재까지 해당 업데이트 패치를 적용하지 않은 시스템은 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 감염 위협에 노출되어 있습니다. 이스트시큐리티 알약 블로그에서는 지난 2월부터 꾸준히 SMB Exploit에 대해 경고 드리며, 최신패치를 적용할 것을 강력하게 권고한 바 있습니다.


※ 관련 글 :


윈도우 SMB 제로데이 익스플로잇, 마이크로소프트가 패치 진행하지 않아 공개돼 ▶ 자세히 보기

TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개 ▶ 자세히 보기

유출된 NSA 해킹 툴, 취약한 윈도우 PC 수천대를 해킹하는데 사용되고 있어 ▶ 자세히 보기

마이크로소프트, 또 다른 제로데이 취약점 4개 패치해 ▶ 자세히 보기

SMB 취약점을 통해 유포되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어, 이용자 긴급 주의 ▶ 자세히 보기


이에 전산/서버 담당자들은 다음과 같은 조치를 취해주셔서 피해를 최소화 시켜주시길 당부드립니다. 


1. 시스템을 네트워크로부터 분리하고 방화벽을 통해 SMB 관련 포트 차단 (137, 138, 139, 445)

자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드

 수동조치 : SMB 관련 포트차단 방법은 여기 참조



2. 사용중인 OS가 Windows 8.1 이상에서는 SMB v1 / CIFS 파일공유기능 해제

 자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드

수동조치 : SMB v1 / CIFS 파일공유기능 해제 방법은 여기 참조

** SMB v1 / CIFS 파일공유기능 해제시, 공유프린터 사용이나 파일 네트워크 공유시 문제가 발생할 수 있으므로 긴급조치를 취한 후 OS패치를 진행하고 문제가 발생하는 경우 해당기능을 다시 활성화시킬 것


3. 사용중인 OS가 Windows Vista, Windows 2008 이상인 경우, 

▶[시작] - [Windows Powershell] - 우클릭 - [관리자 권한으로 실행] -

① set-ItemProperty –Path

“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –Type DWORD –Value 0 –Force 

② set-ItemProperty –Path“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –Type DWORD –Value 0 –Force 


4. 사용중인 OS가 Windows XP, Windows Server 2003인 경우 , RDP 사용시 IP 접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경


5. MS에서 제공하는 MS17-010 보안 업데이트 진행 / 사용중인 OS 및 SW 최신 업데이트 진행


6. 주요문서 백업 및 별도매체에 보관 / 문서중앙화 솔루션 활용


7. 안티랜섬웨어 기능이 탑재된 보안솔루션 활용




현재 알약에서는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 및 추가 발견된 변종들에 대해 

Trojan.Ransom.WannaCryptor, Trojan.Ransom.Wcry, Gen:Variant.Graftor.369176 등으로 탐지하고 있으며, 지속적으로 업데이트를 진행하고 있습니다. 


또한, 알약 랜섬웨어 차단기능을 통한 행위기반 탐지로 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어를 효과적으로 방어하고 있습니다. 그러나 이미 워너크라이(WannaCry) 변종이 150개 가까이 확인되고 있으며, 이후에도 변종은 계속 생성될 것으로 보입니다. 따라서 무엇보다도 MS에서 제공하는 Windows 보안패치를 최신으로 업데이트하는 것이 가장 필수적입니다. 현재까지 패치를 진행하지 않은 사용자, 기업 및 기관은 신속히 패치를 진행해주시길 간곡히 당부 드립니다. 감사합니다.



출처: http://blog.alyac.co.kr/1093 [이스트시큐리티 알약 블로그]

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

프리네

2017.10.29 03:12
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

정보 감사합니다.

profile

목표달성

2017.10.29 10:20
가입일:
총 게시물수: 1
총 댓글수: 382

정보 감사합니다.

profile

나비꿈을꾸다

2017.10.29 10:22
가입일: 2018:10.05
총 게시물수: 41
총 댓글수: 560

유용한 글 잘 읽었습니다. 고맙습니다.

profile

맹이돌

2017.10.29 19:05
가입일:
총 게시물수: 10
총 댓글수: 88
좋은 정보 감사합니다.
profile

또부탁

2017.10.29 19:46
가입일: 2017:10.19
총 게시물수: 9
총 댓글수: 864

막으면 막을수록 더 강해지는 것 같습니다. 왜 그렇게들 해서 피해를 주려고 애를 쓰는지 이해가 안 되네요. 

profile

아버지

2017.10.30 06:42
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020

좋은 정보 감사합니다...!!!

profile

taeany

2017.10.30 07:06
가입일: 2018:11.11
총 게시물수: 1
총 댓글수: 184

좋은 정보 감사합니다...!!!

profile

해마천사

2017.11.03 13:08
가입일: 2015:11.28
총 게시물수: 868
총 댓글수: 788

좋은 정보 감사합니다.

List of Articles

IT정보 [ 기어 S3, 속속들이 살펴봤습니다 ]

기어 S3, 속속들이 살펴봤습니다기어 S3는 아날로그 시계의 가치와 모바일 혁신을 결합한 제품입니다. ‘시계다움’을 담은 정교한 디자인에 각종 편의 기능을 담았...

  • 등록일: 2016-11-14

651

VIEWS

8

COMMENTED

IT정보 구글 스마트폰 '픽셀' 보안 비상, 中업체 60초 만에 해킹

[출처 : OSEN=이균재 기자] 구글이 지난 달 초 선보인 스마트폰 '픽셀'이 60초 만에 해킹 당했다. 미국 온라인 매체 인터내셔널 비즈니스 타임스는 14일(한국시간...

  • 등록일: 2016-11-14

281

VIEWS

8

COMMENTED

IT정보 美 소비자 54% "기어S3 구입 의향"…'프론티어 모델' 선호

[머니투데이 이정혁 기자] [폰아레나, 944명 대상 설문조사…54.03%(510명) 긍정 선택] 미국 소비자 절반 이상이 삼성전자 스마트워치 '기어S3'를 구매할 의향이 ...

  • 등록일: 2016-11-14

208

VIEWS

7

COMMENTED

IT정보 [뉴메모리 시대의 암투]② "D램은 이제 노년기"...인텔에서 삼성으로 '70년 파워 게임'에 새 격동 예고

[출처 : 조선비즈 황민규 이다비 기자] “D램과 낸드플래시 반도체는 사람으로 비유하자면, 이제 노년기에 진입한 것으로 볼 수 있습니다. 기술적인 측면에서 기존...

  • 등록일: 2016-11-14

252

VIEWS

4

COMMENTED

IT정보 안드로이드페이 국내 도입되면 통할까

NFC 동글 턱 없이 부족해 오프라인 결제는 미지수 [출처 : 지디넷코리아=손경호 기자] 구글이 국내 주요 카드사들과 협력해 이르면 내년 상반기부터 한국에도 안...

  • 등록일: 2016-11-14

100

VIEWS

6

COMMENTED

IT정보 'G5'로 쓴맛 본 LG전자, 'V20' 흥행에 재도약 기대감 '솔솔'

국내 시장선 아이폰 출시 첫 주에 주춤했다가 반등 미국에선 출시 열흘 만에 누적 판매량 20만대 돌파 [출처 : 뉴시스 최현 기자] G5 흥행 실패로 쓴맛을 본 LG전...

  • 등록일: 2016-11-13

184

VIEWS

9

COMMENTED

IT정보 "애플 무선 이어폰 '에어팟' 사려면 내년 초에나..."

[출처 : 지디넷코리아=임유경 기자] 애플이 야심차게 공개한 무선 이어폰 ‘에어팟’의 출시가 늦어지고 있는 가운데, 구매를 원하는 대부분의 소비자들이 내년 초...

  • 등록일: 2016-11-13

193

VIEWS

3

COMMENTED

IT정보 안드로이드폰, 최신 '누가' 버전 확산 탄력

삼성전자도 본격 가세 [출처 : 지디넷코리아=황치규 기자] 아이폰에 이어 안드로이드폰 생태계도 지난 8월말 공개된 최신 버전인 안드로이드 7 시리즈(Nougat)로...

  • 등록일: 2016-11-13

176

VIEWS

6

COMMENTED

IT정보 삼성전자, 타이젠 알린다…앱 개발자에 인센티브

[출처 : 연합뉴스 고현실 기자] 삼성전자가 독자 운영체제(OS) 타이젠 전용 애플리케이션 개발자에게 매월 최대 100만 달러를 지원하기로 했다. 삼성전자는 11일(...

  • 등록일: 2016-11-12

133

VIEWS

5

COMMENTED

IT정보 앱 하나 깔면 동창회 회식·택시비까지 자동 n분의 1

김영란법 특수 누리는 더치페이앱 [출처 : 중앙일보 김경진 기자] 회사원인 김민규(37)씨는 고등학교 동창 모임에서 총무를 맡고 있다. 동창의 직업은 공무원·언...

  • 등록일: 2016-11-12

278

VIEWS

4

COMMENTED

IT정보 아이폰8에 '진짜' 무선충전 탑재되나?…"4.5미터 내 충전 가능"

아이폰 10주년 2017년 아이폰8 15피트 내에서 충전 가능한 무선 충전 탑재? 디자인 3년 만에 전면 개선 …"게임체인저 될 것" [출처 : 아시아경제 안하늘 기자] 애...

  • 등록일: 2016-11-12

175

VIEWS

5

COMMENTED

IT정보 [트럼프 시대] 애플에 닥칠 3가지 압박..."해외 자금⋅공장 컴백하고 개인정보보호 정책 바꿔라"

[출처 :  조선비즈 심민관기자] 도널드 트럼프가 제45대 미국 대통령에 당선되면서 애플의 향후 변화에 관심이 쏠리고 있다. 트럼프가 대선 기간 중 애플에 관해 ...

  • 등록일: 2016-11-11

203

VIEWS

5

COMMENTED

IT정보 애플, 삼성 밀어내고 3분기 북미 시장 1위 탈환

아이폰7 초반 열풍 효과…삼성은 갤노트7 사태로 주춤 [출처 : 연합뉴스 고현실 기자] 애플이 지난 3분기 북미 시장에서 삼성전자를 밀어내고 점유율 1위를 차지했...

  • 등록일: 2016-11-11

97

VIEWS

3

COMMENTED

IT정보 "더 많은 사람이 오큘러스 리프트 즐길 것"…新기술 공개

[출처 : 아시아경제 안하늘 기자] 더 많은 사람들이 오큘러스의 가상현실(VR)기기 '오큘러스 리프트'를 즐기게 될 전망이다. 10일(현지시간) 오큘러스는 자사 블...

  • 등록일: 2016-11-11

109

VIEWS

2

COMMENTED

IT정보 갤S7엣지 '블루코랄' 출시… 갤노트7 교환율 높일지 관심

[출처 : 조선비즈 심민관 기자] 삼성전자가 ‘갤럭시S7엣지’(이하 갤S7엣지) 블루코랄 모델을 출시하면서 정체에 빠진 갤럭시노트7의 교환율을 높여줄지 기대를 모...

  • 등록일: 2016-11-11

232

VIEWS

2

COMMENTED

IT정보 CES에서 한판 승부 벼르는 삼성 vs. LG

[출처 : 뉴시스 김지은 기자] 삼성전자와 LG전자가 내년 1월 미국 라스베이거스에서 한판 승부를 벼루고 있다. 11일 삼성전자와 LG전자는 내년 1월 초 열릴 예정...

  • 등록일: 2016-11-11

73

VIEWS

2

COMMENTED

IT정보 진화하는 랜섬웨어… 바탕화면 파일만 집중 공격

[출처 : 아시아경제 이민우 기자] 보안전문기업 하우리는 최근 사용자PC 바탕화면의 모든 파일들을 암호화하는 '아이랜섬(iRansom)'이 등장해 사용자들의 각별한...

  • 등록일: 2016-11-11

344

VIEWS

8

COMMENTED

IT정보 레노버 '요가북' 출시…"가볍고 생산성 높아"

[출처 :뉴시스 김지은 기자] 한국레노버가 노트북의 생산성, 태블릿의 휴대성, 손필기가 가능한 노트패드의 감성이 결합된 3-in-1 '요가북(Yoga Book)'을 국내 출...

  • 등록일: 2016-11-10

318

VIEWS

3

COMMENTED

IT정보 고프로가 야심차게 내놓은 드론 ‘카르마’ 전량 리콜

[출처 :지디넷코리아=이정현 기자] 액션 카메라의 대명사 고프로가 야침차게 출시했던 첫 번째 드론 ‘카드마’가 전량 리콜된다. 미국 지디넷은 9일(현지시각) 고...

  • 등록일: 2016-11-10

284

VIEWS

2

COMMENTED

IT정보 미래의 SSD 플랫폼은 NVMe M.2가 대세가 되나?

미래의 SSD 플랫폼은 NVMe M.2가 대세? 공격적인 첫발을 내딛은 삼성 현재 SSD시장은 새로운 플랫폼 맞이할 준비를 하고있다. 과거 낸드에서 큰 논란이 됐던 MLC...

  • 등록일: 2016-11-10

446

VIEWS

14

COMMENTED