워너크라이(WannaCry) 랜섬웨어: SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법 - KrCERT

잘 모르는 내용이라 기사 먼저.

사상 최악 랜섬웨어! 현재 74개국으로 확산중...한국도 피해 - 보안뉴스 2017.5.13

셰도우브로커스가 4월 공개한 익스플로잇 툴에 기반을 둔 공격
MS는 이미 패치 발표...결국 사용자가 패치 적용하지 않아 당해

윈도우XP이상 윈도우OS가 취약.

SMB 프로토콜의 취약점을 이용한 것.

MS 업데이트를 해 준 컴퓨터라면 상관없지만, 그렇지 않은 경우 조치 필요. 하지 않으면 당하게 되어 있다고.

http://www.yonhapnews.co.kr/economy/2017/05/13/0319000000AKR20170513032100017.HTML?template=2087

아래는 적당히 보고 인용, 정리 내용입니다. 

SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법2017.05.13

□ 개요

 o 최근 윈도우 SMB의 취약점을 악용한 WannaCry 랜섬웨어의 확산에 따라 피해 예방을 위한 사용자의 적극적인 대처 당부

 

□ 주요 특징

 o WannaCry 랜섬웨어는 윈도우가 설치된 PC 및 서버를 대상으로 감염시키는 네트워크 웜(자가 전파 악성코드) 형태이며,

    윈도우 SMB 취약점을 이용

 o PC 또는 서버가 감염된 경우 네트워크를 통해 접근 가능한 임의의 IP를 스캔하여 랜섬웨어 악성코드를 확산시키는 특징을

    보이므로 감염과 동시에 공격에 악용됨

 

□ 예방 방법

 ① PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능 해제

     ※ 파일 공유 기능 해제 방법은 KrCERT 보안 공지문[1] 참고

 ② 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사

 ③ 윈도우 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트[2] 수행

     ※ 특히 인터넷에 오픈된 윈도우 PC 또는 서버의 경우 우선적인 최신 패치 적용 권고

 

□ 기타 문의사항

 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

 

[참고사이트]

 [1] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

 [2] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25704

Microsoft 보안 게시판 MS17-010 - 긴급
Microsoft Windows SMB 서버용 보안 업데이트 (4013389)
게시 날짜 : 2017 년 3 월 14 일

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

이것이 기본. 윈도우7은 SP1(서비스팩1)이 되어 있어야 이 패치가 설치됩니다. 즉, SP1이 안 깔린 컴퓨터는 SP1패치까지 해 준 다음에 업데이트를 계속해야 합니다. SP1이 깔렸든 깔리지 않았든, 최신 패치까지 오려면 다 깔 게 없다는 문장을 볼 때까지 업데이트 검색-설치, 컴퓨터가 요구하면 윈도우 재시작를 반복해 줄 필요가 있습니다.

그외 32비트 윈도우XP SP3 등 마이크로소프트가 지원 중단한 지 오래 된 일부 버전에 대해서도, 이번에는 패치 파일을 MS 웹사이트에서 다운받아 설치할 수 있습니다.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

후속기사.

단종모델도 보안지원…'전례' 남긴 MS의 딜레마 - 아시아경제 2017.05.20
윈도XP 2014년 단종됐지만 랜섬웨어 보안패치 전격 지원
2차·3차 대란때도 지원해야 하나.. 'MS 책임론'까지 제기되자 난처
"엄연히 보증기한 있는 상품인데…" 

그래서 이거 만드는 방법이 공개됐을 때, MS는 NSA에게 불평했다고 하더군요. "당신들이 그딴 걸 만들어놓고 칠칠맞게 유출시켜서 이렇게 됐다"고.. 지원끝난 OS라도 놔두기만 하면 MS도 손해인 것이, 이번같은 건 단종된 OS와 요즘 OS사이에서 통신을 하니까, 해줄 수 있으면 좀비를 잡아주는 게 좋거든요. 그리고 MS가 이번에 공개한 건, 공식적으로는 지원이 끝났지만, 개별 수요자(윈도XP를 꼭 쓰려고 MS와 유지보수기간을 비싸게 연장한 일부 국가 정부 등)를 위한 작업 결과물을 공익을 위해 공개한 것 같기도 했습니다. 물론, 고마운 일입니다. ^^

나중에.

실제 걸린 컴퓨터의 97%가 윈도우 7을 쓰고 있었다고 합니다.

윈도우XP를 인터넷에 연결해 쓰는 경우가 그만큼 적고 남아 있는 윈도우XP 컴퓨터는 대부분 폐쇄망이나 공유기 안쪽에서 돌아가고 있었단 얘길까요?

그리고 워너크라이 랜섬웨어에 감염된 데이터를 복구할 방법이 있다고 하네요. 그래서 그거 해주는 서비스를 해주는 사람들이 있다는 말이 링크한 기사 말미에 있습니다. 좀 찾아 보니,

워너크라이 랜섬웨어 복구 툴 등장, 윈도우 XP, 7만 가능 - kbench 2017/05/22 

WanaKiwi라 불리는 이 복구 툴은 보안 전문가 '벤자민 델피'가 제작했으며 Github(링크)를 통해 프로그램 및 소스 코드가 공개되어 있다. WanaKiwi는 메모리 영역에 남아있는 복호화 데이터를 이용하기 때문에 컴퓨터를 재부팅 한 경우 툴을 사용할 수 없다.

http://prolite.tistory.com/978