Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

profile IT정보 악성코드 분석 리포트

작성자: 엔돌핀 조회 수: 4791 PC모드

URL 링크 : http://blog.alyac.co.kr/1093 

악성코드 분석 리포트

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안

252C084959181779448219


안녕하세요. 이스트시큐리티입니다.

5월 12일부터 전세계로 급속히 유포되고 있는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 대한 내용을 정리했습니다. 또한 사전조치 방안에 대해 공유 드리며, 피해를 최소화 하고자 알약 워너크라이(WannaCry) 예방 조치툴을 개발하였으니 필요한 경우 툴을 내려받아 조치해주시길 부탁 드립니다. 



 알약 워너크라이(WannaCry) 예방 조치툴 다운로드 하기

 알약 워너크라이(WannaCry) 예방 조치툴 내용 자세히 보기



**이스트시큐리티에서는 해당 랜섬웨어 초동 대응에 Wcry, Wana Decrypt0r 등 여러가지 이름을 혼용해 사용했습니다. 사용자의 혼돈을 최소화하기 위해 앞으로는 워너크라이(WannaCry)/워너크립터(WannaCryptor)로 명칭을 통일하는 점 참고 부탁 드립니다.



워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어란?


2017년 5월 12일부터 Windows SMB 취약점을 악용한 유포되기 시작한 랜섬웨어입니다.

해당 랜섬웨어는 다국적 언어를 지원하며 지원언어에는 한국어도 포함되어 있습니다. 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 감염되면, 파일 확장자를 ".WNCRY”으로 변경하고, 랜섬머니로 300달러 이상 가치의 비트코인을 요구합니다.

(변종의 경우는 파일확장자나 요구하는 랜섬머니의 금액이 조금씩 달라집니다.)


또한 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 네트워크를 타고 전파되기 때문에, 한대의 PC가 감염되면 같은 네트워크에 SMB취약점이 존재하는 PC들이 모두 감염될 가능성이 있어 특별히 더 주의를 기울여야 합니다.


현재 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 Wcry, Wana Decrypt0r, WannaCry, Wanna Crypt 등 다양한 이름으로 불리우고 있으며 모두 같은 랜섬웨어 이슈를 언급하는 것으로 혼동 없으시길 바랍니다.



워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염 원인


Microsoft Windows의 SMB 취약점을 통해 동일 네트워크상에서 급격히 감염이 이뤄지고 있습니다. 2017년 3월에 업데이트된 MS의 보안패치를 설치하지 않았다면 인터넷에 연결된 것만으로도 감염될 가능성이 있습니다.


* SMB(Server Message Block) : 마이크로소프트 윈도우 운영체제(OS)에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식



워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염예방을 위한 조치방법


일반 사용자 


1. 인터넷 연결을 일단 해제하고, 주요자료를 가능하면 별도 오프라인매체에 백업합니다.

 관련 상세내용은 여기 참조


2. 백업이 완료되면, 다시 인터넷을 연결하고 윈도 보안패치를 최신으로 업데이트합니다.

 윈도우 보안 업데이트 방법 보러가기 


3. 알약 워너크라이(WannaCry) 예방 조치툴을 사용하여 이번 공격에 악용되는 포트를 차단합니다. 

알약 워너크라이(WannaCry) 예방 조치툴 다운로드


4. 랜섬웨어 공격을 방어할 수 있는 백신과 같은 보안솔루션을 활용합니다.



▲ 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 차단 영상 


※ 전산/서버 담당자 


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 미국, 영국, 중국 그리고 한국 등을 포함한 100여개 국가에서 유포되고 있습니다. 공격자는 윈도 시스템에서 기본적으로 오픈되어 있도록 설정된 445 포트를 주로 악용하여, 기업 및 학교 내부망에 침투하는 것으로 보입니다.


특히 해당 랜섬웨어는 악성 첨부파일을 다운로드하여 열어보거나, 취약한 웹사이트나 배너에 노출되지 않았음에도 불구하고 어떤 네트워크상에 있는 시스템이 1대라도 감염되면, 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결되어 있는 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적입니다. 이는 웜 바이러스의 특성을 함께 지니고 있는, 기존에 볼 수 없었던 웜과 랜섬웨어의 결합형이라고 볼 수 있습니다.


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 한국어를 포함해 다양한 국가의 언어를 지원하고 있으며, 암호화된 데이터를 복호화하는 댓가로 300달러 혹은 변종에 따라 다양한 가격의 비트코인을 요구합니다.


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 취약점은 Microsoft Windows SMB 원격 임의코드실행취약점 (MS17-010)으로, SMB version1 서버에 존재하는 취약점을 악용합니다. 공격자는 원격에서 특수하게 제작된 패킷을 통해 해당 취약점을 악용하여 임의의 코드를 실행합니다.


해당 취약점에는 다음과 같은 CVE가 포함되어 있습니다.


CVE-2017-0143

CVE-2017-0144

CVE-2017-0145

CVE-2017-0146

CVE-2017-0147

CVE-2017-0148


또한 이 취약점에 영향을 받는 Windows OS 버전은 다음과 같습니다.


Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8.1

Windows Server 2012 and Windows Server 2012 R2

Windows RT 8.1

Windows 10

Windows Server 2016

Windows Server Core installation option


MS에서는 해당 SMB 취약점에 대해 이미 지난 3월 14일에 패치를 진행했습니다. 그러나 현재까지 해당 업데이트 패치를 적용하지 않은 시스템은 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 감염 위협에 노출되어 있습니다. 이스트시큐리티 알약 블로그에서는 지난 2월부터 꾸준히 SMB Exploit에 대해 경고 드리며, 최신패치를 적용할 것을 강력하게 권고한 바 있습니다.


※ 관련 글 :


윈도우 SMB 제로데이 익스플로잇, 마이크로소프트가 패치 진행하지 않아 공개돼 ▶ 자세히 보기

TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개 ▶ 자세히 보기

유출된 NSA 해킹 툴, 취약한 윈도우 PC 수천대를 해킹하는데 사용되고 있어 ▶ 자세히 보기

마이크로소프트, 또 다른 제로데이 취약점 4개 패치해 ▶ 자세히 보기

SMB 취약점을 통해 유포되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어, 이용자 긴급 주의 ▶ 자세히 보기


이에 전산/서버 담당자들은 다음과 같은 조치를 취해주셔서 피해를 최소화 시켜주시길 당부드립니다. 


1. 시스템을 네트워크로부터 분리하고 방화벽을 통해 SMB 관련 포트 차단 (137, 138, 139, 445)

자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드

 수동조치 : SMB 관련 포트차단 방법은 여기 참조



2. 사용중인 OS가 Windows 8.1 이상에서는 SMB v1 / CIFS 파일공유기능 해제

 자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드

수동조치 : SMB v1 / CIFS 파일공유기능 해제 방법은 여기 참조

** SMB v1 / CIFS 파일공유기능 해제시, 공유프린터 사용이나 파일 네트워크 공유시 문제가 발생할 수 있으므로 긴급조치를 취한 후 OS패치를 진행하고 문제가 발생하는 경우 해당기능을 다시 활성화시킬 것


3. 사용중인 OS가 Windows Vista, Windows 2008 이상인 경우, 

▶[시작] - [Windows Powershell] - 우클릭 - [관리자 권한으로 실행] -

① set-ItemProperty –Path

“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –Type DWORD –Value 0 –Force 

② set-ItemProperty –Path“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –Type DWORD –Value 0 –Force 


4. 사용중인 OS가 Windows XP, Windows Server 2003인 경우 , RDP 사용시 IP 접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경


5. MS에서 제공하는 MS17-010 보안 업데이트 진행 / 사용중인 OS 및 SW 최신 업데이트 진행


6. 주요문서 백업 및 별도매체에 보관 / 문서중앙화 솔루션 활용


7. 안티랜섬웨어 기능이 탑재된 보안솔루션 활용




현재 알약에서는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 및 추가 발견된 변종들에 대해 

Trojan.Ransom.WannaCryptor, Trojan.Ransom.Wcry, Gen:Variant.Graftor.369176 등으로 탐지하고 있으며, 지속적으로 업데이트를 진행하고 있습니다. 


또한, 알약 랜섬웨어 차단기능을 통한 행위기반 탐지로 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어를 효과적으로 방어하고 있습니다. 그러나 이미 워너크라이(WannaCry) 변종이 150개 가까이 확인되고 있으며, 이후에도 변종은 계속 생성될 것으로 보입니다. 따라서 무엇보다도 MS에서 제공하는 Windows 보안패치를 최신으로 업데이트하는 것이 가장 필수적입니다. 현재까지 패치를 진행하지 않은 사용자, 기업 및 기관은 신속히 패치를 진행해주시길 간곡히 당부 드립니다. 감사합니다.



출처: http://blog.alyac.co.kr/1093 [이스트시큐리티 알약 블로그]

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

프리네

2017.10.29 03:12
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

정보 감사합니다.

profile

목표달성

2017.10.29 10:20
가입일:
총 게시물수: 1
총 댓글수: 382

정보 감사합니다.

profile

나비꿈을꾸다

2017.10.29 10:22
가입일: 2018:10.05
총 게시물수: 41
총 댓글수: 560

유용한 글 잘 읽었습니다. 고맙습니다.

profile

맹이돌

2017.10.29 19:05
가입일:
총 게시물수: 10
총 댓글수: 88
좋은 정보 감사합니다.
profile

또부탁

2017.10.29 19:46
가입일: 2017:10.19
총 게시물수: 9
총 댓글수: 865

막으면 막을수록 더 강해지는 것 같습니다. 왜 그렇게들 해서 피해를 주려고 애를 쓰는지 이해가 안 되네요. 

profile

아버지

2017.10.30 06:42
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020

좋은 정보 감사합니다...!!!

profile

taeany

2017.10.30 07:06
가입일: 2018:11.11
총 게시물수: 1
총 댓글수: 184

좋은 정보 감사합니다...!!!

profile

해마천사

2017.11.03 13:08
가입일: 2015:11.28
총 게시물수: 868
총 댓글수: 788

좋은 정보 감사합니다.

List of Articles

1352

VIEWS

14

COMMENTED

1655

VIEWS

30

COMMENTED

윈도정보 11월 Adobe Flash Player Update (KB4051613)

Security Update for Adobe Flash Player for Windows 10 Version 1709 (KB4051613) [x64] [x86] Security Update for Adobe Flash Player for Windows 10 Versio...

  • 등록일: 2017-11-03

1450

VIEWS

9

COMMENTED

윈도정보 11월 2일 Windows 10 누적 업데이트입니다.

기다리던 Windows 10 Version 1709는 아직 소식이 없네요..ㅠㅠ 1. Cumulative Update for Windows 10 Version 1703 (KB4049370) : 15063.675  Download KB404937...

  • 등록일: 2017-11-03

1879

VIEWS

11

COMMENTED

유용정보 WIN10 RS3 1709업데이트 중지하기

WIN10 RS3버전 1709(기능업데이트)는 제 컴에서는 아직이다 싶어 RS2 1607(15063.608) 버전으로 돌아와 보안업데이트 실행 중 어느 시점에서 1709파일이 다운되고...

  • 등록일: 2017-11-02

2809

VIEWS

20

COMMENTED

기타정보 [컴-악세서리] 가입 기념으로 유용한 아이템 하나 공유 합니다. file

바로 밑에 첨부한 동영상이 안보이네요..?? (용량은 13.8MB 인데..??) 맨 아래 제조사 URL 로 가시면.. 확인 할수 있으니 참고 하세요..! . 2년전 국내에서 소개...

  • 등록일: 2017-10-31

2289

VIEWS

38

COMMENTED

MS소식 최신 윈도10 확산 속도 '괜찮네' file

윈도10 최신 버전인 '가을 크리에이터스 업데이트'가 이전 버전보다 빠르게 확산되고 있는 것으로 나타났다. 28일(현지시간) 아스테크니카 등 주요 IT 외신들은 ...

  • 등록일: 2017-10-30

2286

VIEWS

18

COMMENTED

IT정보 악성코드 분석 리포트

악성코드 분석 리포트전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안알약(Alyac)2017.05.14 00:39 ...

  • 등록일: 2017-10-28

4791

VIEWS

8

COMMENTED

IT정보 알파고 근황과 AI기술의 미래 file

알파고 근황과 AI기술의 미래

  • 등록일: 2017-10-26

1982

VIEWS

15

COMMENTED

윈도정보 Windows 10 Insider Preview Build 17025 for PC file

RS4: Windows 10 Insider Preview Build 17025 for PC 가 3시 쯤 부터 Fast Ring 으로 배포가 되고 있습니다.

  • 등록일: 2017-10-26

2715

VIEWS

11

COMMENTED

IT정보 정부, 공문서에 HWP 대신 ODT 쓴다 file

21개 중앙부처, 내년 3월까지 클라우드로 전환(지디넷코리아=임민철 기자)국제표준 워드파일 형식 'ODT'가 한국 공공부문 주요 포맷으로 도입된다. 이르면 내년 ...

  • 등록일: 2017-10-19

3337

VIEWS

53

COMMENTED

IT정보 구글, 알파고 제로 공개… '이세돌 대결' 버전에 100전 100승 file

구글의 바둑 인공지능(AI) ‘알파고’의 최신 버전인 ‘알파고 제로’가 공개됐다. 18일(현지시간) 영국 가디언 등 외신에 따르면 구글의 AI 개발부서인 딥마인드는 ...

  • 등록일: 2017-10-19

2584

VIEWS

13

COMMENTED

윈도정보 10월 Adobe Flash Player Update (KB4049179)

Security Update for Adobe Flash Player for Windows 10 Version 1709 (KB4049179) [x64] [x86] Security Update for Adobe Flash Player for Windows 10 Versio...

  • 등록일: 2017-10-18

2581

VIEWS

4

COMMENTED

IT정보 램가격 상승이유 file

  • 등록일: 2017-10-18

6470

VIEWS

37

COMMENTED

윈도정보 Windows 10 Version 1709에 대한 누적 업데이트(KB4043961)

Cumulative Update for Windows 10 Version 1709 (KB4043961) : 16299.19  Download KB4043961 MSU for Windows 10 Version 1709 32-bit (x86) - 99.3 MB   Downl...

  • 등록일: 2017-10-18

2846

VIEWS

8

COMMENTED