[팁] 워너크라이(WannaCry) 랜섬웨어 감염 피해 예방 방법 - 패치 & 대응방안

오늘 뉴스에서 랜섬웨어 관련 기사가 나왔다. 

심지어 지원종료가 된  Windows XP까지 마소에서 보안패치를 제공한다고 하는것보면 문제이긴 한가보다.

단, Windows 7이랑 Windows 10을 쓰는 사람중 평소에 보안업데이트를 충실히(?) 했다면, 이미 3월 14일에 보안패치가 발표되서 문제 없다고 한다 (마소의 MS17-010 업데이트 정보링크). 문제되는 사람은 업데이트를 평소에 안하거나 지원이 끊긴 옛날버전의 윈도우를 쓰는사람이 문제인듯. 

우선 이 화면을 PC에서 잘 보고 있다면, 아직 문제 안된거니 윈도우 업데이트를 체크하자.

좀더 자세한 내용을 보고 싶으면 아랫글을 읽도록 !

1. 랜섬웨어란? 그리고 왜 이슈인가?

ransom(몸값) ware(제품)의 합성어로, 사용자의 중요자료를 인질로 하여 돈을 요구하는 악성코드 유형이다.

보통 파일을 다 못쓰게 암호화하고, 돈주면 그 파일을 다시 사용할수 있겠다고 협박한다.

이런 랜섬웨어는 과거 문제가 되었는데, 이번에 크게 이슈가 되는 이유는? 

이번 워너크라이(WannaCryp) 랜섬웨어는  윈도우즈 자체의 취약점을 노린것이라 더 문제가 되는것이다.

즉, 운영체제의 헛점을 노렸다는 점.

좀 더 자세히 말하면 SMB(Server Message Block) 라는것이 있다. 

이건 파일이나 폴더를 공유하기위해 사용되는 "공유폴더" 기능을 위한 메시지 형식을 의미하는데 이 실행취약점을 노려서 파급효과가 큰것이다.

2. 감염경로 / 증상 

2.1 감염경로

- 보안패치가 되어 있지 않은 취약한 PC를 통해 감염됨

- 불법 프로그램, SNS, 토렌토 같은곳의 파일에 심어져 있을수 있음

- 이메일이나 클라우드 웹하드 같은곳에 VBS 스크립트를 첨부하여(.vbs 확장자 주의) 랜섬웨어 감염을 유도

2.2 감염증상

- 다양한 문서파일, 압축파일, DB 파일, 가상머신 파일 등을 암호화시키며, 비트코인으로 금전을 요구 

 

- 랜서웨어가 암호화하는 파일의 종류는 .3ds, .ai, .asf, .asm, .asp, .avi, .doc, .docx, .gif, .gpg, .hwp, .java, .jpeg, .jpg, .mp3, .mp4, .mpeg, .ost, .pdf, .png, .ppt, .pptx, .psd, .pst, .rar, .raw, .rtf, .swf, .tif, .tiff, .txt, .wav, .wma, .wmv, .zip  등의 확장자명을 가진 파일

 

- 암호화된 파일은 파일명 끝에 ".WNCRY"라는 확장자를 추가

 

- 몸값 지불에 대한 정보를 담고 있는 "!Please Read Me!.txt"라는 파일 생성

3. 해결방법

위에 언급했지만, 평소에 보안패치를 잘 받고, 백신도 잘 쓰고 있다면 문제없다.

보안지원이 끊긴 구버전 윈도우를 쓰거나, 보안패치를 평소에 안받던 사람은 영향이 있을수 있으니 따라하도록 !

step1. 랜선부터 뽑자

윈도우 자체의 헛점을 노린것이다보니, 인터넷부터 연결안되게 하는것이 좋다고 한다.

일단 랜선부터 뽑고 (아님 모뎀을 끄거나) 컴퓨터를 켜자. (=안전빵으로)

step2. 네트워크 드라이브 관련 기능(=SMB) 비활성화

보안 헛점인 SMB 기능을 disable 한다. 일단 랜섬웨어가 피해를 응급처치로 막는느낌이다.

■ Windows Vista 또는 Windows Server 2008 이상

시작 → Windows Powershell → 우클릭 → 관리자 권한으로 실행 

set-ItemProperty -Path "HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters" SMB1 -Type DWORD -Value 0 -Force

set-ItemProperty -Path "HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters" SMB2 -Type DWORD -Value 0 -Force

 

■ Windows 8.1 또는 Windows Server 2012 R2 이상 (일반용)

제어판 → 프로그램 → Windows 기능 설정 또는 해제 → SMB1.0/CIFS 파일 공유 지원 체크해제 → 시스템 재시작 

■ Windows 8.1 또는 Windows Server 2012 R2 이상 (서버용)

서버 관리자 → 관리 → 역할 및 기능 → SMB1.0/CIFS 파일 공유 지원 체크 해제 → 확인 → 시스템 재시작 

위의 방법처럼 SMB기능을 끄는방법 말고 포트를 막는법도 있긴하다. (초보자는 기냥 위의 방법 쓰는것이 좋음)

네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단

※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)

step3. 윈도우 업데이트를 한다.

응급대응은 끝났으니 다시 랜선을 꼽은후, 윈도우 업데이트를 한다.

(왠지 windows 10은 업데이트를 기본으로 제공하니 기본기능으로 업데이트 시도될듯 하다)

패치 끝나면 아마도 SMB 기능을 다시 활성화 해도 될듯하다.

해당 윈도우 업데이트 패치에 관련된 링크는 아래와 같다. 

https://support.microsoft.com/ko-kr/help/4013389/title

위 링크를 보면, 하단에 윈도우즈 버전별로 관련 보안업데이트 정보가 나와있다.

step4. 백신도 최신으로 업데이트

사람마다 쓰는 백신이 다를텐데 최신 백신으로 업데이트하자.