포스팅 내용

악성코드 분석 리포트

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안


안녕하세요. 이스트시큐리티입니다.

5월 12일부터 전세계로 급속히 유포되고 있는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 대한 내용을 정리했습니다. 또한 사전조치 방안에 대해 공유 드리며, 피해를 최소화 하고자 알약 워너크라이(WannaCry) 예방 조치툴을 개발하였으니 필요한 경우 툴을 내려받아 조치해주시길 부탁 드립니다. 



 알약 워너크라이(WannaCry) 예방 조치툴 다운로드 하기

 알약 워너크라이(WannaCry) 예방 조치툴 내용 자세히 보기



**이스트시큐리티에서는 해당 랜섬웨어 초동 대응에 Wcry, Wana Decrypt0r 등 여러가지 이름을 혼용해 사용했습니다. 사용자의 혼돈을 최소화하기 위해 앞으로는 워너크라이(WannaCry)/워너크립터(WannaCryptor)로 명칭을 통일하는 점 참고 부탁 드립니다.



워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어란?


2017년 5월 12일부터 Windows SMB 취약점을 악용한 유포되기 시작한 랜섬웨어입니다.

해당 랜섬웨어는 다국적 언어를 지원하며 지원언어에는 한국어도 포함되어 있습니다. 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 감염되면, 파일 확장자를 ".WNCRY”으로 변경하고, 랜섬머니로 300달러 이상 가치의 비트코인을 요구합니다.

(변종의 경우는 파일확장자나 요구하는 랜섬머니의 금액이 조금씩 달라집니다.)


또한 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 네트워크를 타고 전파되기 때문에, 한대의 PC가 감염되면 같은 네트워크에 SMB취약점이 존재하는 PC들이 모두 감염될 가능성이 있어 특별히 더 주의를 기울여야 합니다.


현재 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 Wcry, Wana Decrypt0r, WannaCry, Wanna Crypt 등 다양한 이름으로 불리우고 있으며 모두 같은 랜섬웨어 이슈를 언급하는 것으로 혼동 없으시길 바랍니다.



워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염 원인


Microsoft Windows의 SMB 취약점을 통해 동일 네트워크상에서 급격히 감염이 이뤄지고 있습니다. 2017년 3월에 업데이트된 MS의 보안패치를 설치하지 않았다면 인터넷에 연결된 것만으로도 감염될 가능성이 있습니다.


* SMB(Server Message Block) : 마이크로소프트 윈도우 운영체제(OS)에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식



워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염예방을 위한 조치방법


일반 사용자 


1. 인터넷 연결을 일단 해제하고, 주요자료를 가능하면 별도 오프라인매체에 백업합니다.

 관련 상세내용은 여기 참조


2. 백업이 완료되면, 다시 인터넷을 연결하고 윈도 보안패치를 최신으로 업데이트합니다.

 윈도우 보안 업데이트 방법 보러가기 


3. 알약 워너크라이(WannaCry) 예방 조치툴을 사용하여 이번 공격에 악용되는 포트를 차단합니다. 

알약 워너크라이(WannaCry) 예방 조치툴 다운로드


4. 랜섬웨어 공격을 방어할 수 있는 백신과 같은 보안솔루션을 활용합니다.



▲ 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 차단 영상 


※ 전산/서버 담당자 


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 미국, 영국, 중국 그리고 한국 등을 포함한 100여개 국가에서 유포되고 있습니다. 공격자는 윈도 시스템에서 기본적으로 오픈되어 있도록 설정된 445 포트를 주로 악용하여, 기업 및 학교 내부망에 침투하는 것으로 보입니다.


특히 해당 랜섬웨어는 악성 첨부파일을 다운로드하여 열어보거나, 취약한 웹사이트나 배너에 노출되지 않았음에도 불구하고 어떤 네트워크상에 있는 시스템이 1대라도 감염되면, 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결되어 있는 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적입니다. 이는 웜 바이러스의 특성을 함께 지니고 있는, 기존에 볼 수 없었던 웜과 랜섬웨어의 결합형이라고 볼 수 있습니다.


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 한국어를 포함해 다양한 국가의 언어를 지원하고 있으며, 암호화된 데이터를 복호화하는 댓가로 300달러 혹은 변종에 따라 다양한 가격의 비트코인을 요구합니다.


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 취약점은 Microsoft Windows SMB 원격 임의코드실행취약점 (MS17-010)으로, SMB version1 서버에 존재하는 취약점을 악용합니다. 공격자는 원격에서 특수하게 제작된 패킷을 통해 해당 취약점을 악용하여 임의의 코드를 실행합니다.


해당 취약점에는 다음과 같은 CVE가 포함되어 있습니다.


CVE-2017-0143

CVE-2017-0144

CVE-2017-0145

CVE-2017-0146

CVE-2017-0147

CVE-2017-0148


또한 이 취약점에 영향을 받는 Windows OS 버전은 다음과 같습니다.


Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8.1

Windows Server 2012 and Windows Server 2012 R2

Windows RT 8.1

Windows 10

Windows Server 2016

Windows Server Core installation option


MS에서는 해당 SMB 취약점에 대해 이미 지난 3월 14일에 패치를 진행했습니다. 그러나 현재까지 해당 업데이트 패치를 적용하지 않은 시스템은 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 감염 위협에 노출되어 있습니다. 이스트시큐리티 알약 블로그에서는 지난 2월부터 꾸준히 SMB Exploit에 대해 경고 드리며, 최신패치를 적용할 것을 강력하게 권고한 바 있습니다.


※ 관련 글 :


윈도우 SMB 제로데이 익스플로잇, 마이크로소프트가 패치 진행하지 않아 공개돼 ▶ 자세히 보기

TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개 ▶ 자세히 보기

유출된 NSA 해킹 툴, 취약한 윈도우 PC 수천대를 해킹하는데 사용되고 있어 ▶ 자세히 보기

마이크로소프트, 또 다른 제로데이 취약점 4개 패치해 ▶ 자세히 보기

SMB 취약점을 통해 유포되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어, 이용자 긴급 주의 ▶ 자세히 보기


이에 전산/서버 담당자들은 다음과 같은 조치를 취해주셔서 피해를 최소화 시켜주시길 당부드립니다. 


1. 시스템을 네트워크로부터 분리하고 방화벽을 통해 SMB 관련 포트 차단 (137, 138, 139, 445)

자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드

 수동조치 : SMB 관련 포트차단 방법은 여기 참조



2. 사용중인 OS가 Windows 8.1 이상에서는 SMB v1 / CIFS 파일공유기능 해제

 자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드

수동조치 : SMB v1 / CIFS 파일공유기능 해제 방법은 여기 참조

** SMB v1 / CIFS 파일공유기능 해제시, 공유프린터 사용이나 파일 네트워크 공유시 문제가 발생할 수 있으므로 긴급조치를 취한 후 OS패치를 진행하고 문제가 발생하는 경우 해당기능을 다시 활성화시킬 것


3. 사용중인 OS가 Windows Vista, Windows 2008 이상인 경우, 

▶[시작] - [Windows Powershell] - 우클릭 - [관리자 권한으로 실행] -

① set-ItemProperty –Path

“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –Type DWORD –Value 0 –Force 

② set-ItemProperty –Path“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –Type DWORD –Value 0 –Force 


4. 사용중인 OS가 Windows XP, Windows Server 2003인 경우 , RDP 사용시 IP 접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경


5. MS에서 제공하는 MS17-010 보안 업데이트 진행 / 사용중인 OS 및 SW 최신 업데이트 진행


6. 주요문서 백업 및 별도매체에 보관 / 문서중앙화 솔루션 활용


7. 안티랜섬웨어 기능이 탑재된 보안솔루션 활용




현재 알약에서는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 및 추가 발견된 변종들에 대해 

Trojan.Ransom.WannaCryptor, Trojan.Ransom.Wcry, Gen:Variant.Graftor.369176 등으로 탐지하고 있으며, 지속적으로 업데이트를 진행하고 있습니다. 


또한, 알약 랜섬웨어 차단기능을 통한 행위기반 탐지로 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어를 효과적으로 방어하고 있습니다. 그러나 이미 워너크라이(WannaCry) 변종이 150개 가까이 확인되고 있으며, 이후에도 변종은 계속 생성될 것으로 보입니다. 따라서 무엇보다도 MS에서 제공하는 Windows 보안패치를 최신으로 업데이트하는 것이 가장 필수적입니다. 현재까지 패치를 진행하지 않은 사용자, 기업 및 기관은 신속히 패치를 진행해주시길 간곡히 당부 드립니다. 감사합니다.







저작자 표시
신고
  1. 이전 댓글 더보기
  2. 손병찬 2017.05.15 21:29 신고  수정/삭제  댓글쓰기

    블로그 운영정책에 따라 포스트 주제와 맞지 않는 댓글(트랙백) 등은 삭제될 수 있습니다.

  3. 도와주세요 2017.05.15 21:42 신고  수정/삭제  댓글쓰기

    최약점이 발견되었다고 해서 윈도우를 업데이트 시킬려고 하는데 윈도우7은 어떤걸 다운 받아야 하나요? 그리고 다운받은이후에는 어떻게 조치해야하는지 다시 한번 설명해주실수 있나요??? 살려주세요 ㅠㅠ

    • 헬프미 2017.05.16 04:32 신고  수정/삭제

      바탕화면 > 제어판 > 시스템 > Windows update > 권장 설치 > 용량에 따라 시간이 다소 걸림(자동 업데이트 매일 : 새벽 3시) 상태 유지바람.

    • 알약(Alyac) 2017.05.16 10:52 신고  수정/삭제

      헬프미님이 답변해주신 내용대로 진행해주시면 됩니다. 대신 답변주신 헬프미님도 감사드립니다.

  4. 비스타 2017.05.15 21:50 신고  수정/삭제  댓글쓰기

    윈도우 비스타에서 파워쉘 명령어 입력하려면 안전모드로 부팅후 명령어를 입력하면 될까요? 랜선을 먼저 뽑고

    • 알약(Alyac) 2017.05.16 10:53 신고  수정/삭제

      랜선을 뽑아두신 상태라면 안전모드로 부팅하지 않으셔도 무방할 것 같습니다.

  5. 어머나 2017.05.15 22:07 신고  수정/삭제  댓글쓰기

    윈도우 8이랑 8.1은 다른건가요?

    • 알약(Alyac) 2017.05.16 10:54 신고  수정/삭제

      네 윈도8은 윈도8.1의 구버전으로 더이상 MS에서 지원하지 않는 OS입니다. 윈도8 사용자분이시라면 윈도8.1로 무상업그레이드가 가능하니 반드시 업그레이드를 진행해주시기 바랍니다.

  6. syrup 2017.05.15 22:23 신고  수정/삭제  댓글쓰기

    역시 갓알약 철저한 보안성에 세계1위급 이래서 제가 알약을 못끊어요~ㅎㅎ

  7. santa 2017.05.15 23:15 신고  수정/삭제  댓글쓰기

    현재 윈도우 8.1이구요 백업부터 하려는데
    사용가능한 드라이브가 없다고 뜨면 뭐부터 해야될까요? 백업 끝내고 윈도우 업데이트 해야되는데...ㅠㅜ

    • 알약(Alyac) 2017.05.16 10:56 신고  수정/삭제

      백업을 진행하실때 윈도내에서 백업을 진행하시는 것이 아니라, 인터넷연결을 끊은 상태에서 외장하드나 USB등 오프라인 저장매체를 활용하여 중요자료를 백업하시면 됩니다. 백업이 완료되면 다시 인터넷을 연결하시고 사용중인 윈도의 최신버전을 업데이트하시기 바랍니다.

  8. 윤시네 2017.05.15 23:40 신고  수정/삭제  댓글쓰기

    알약 워너크아이 예방조치 툴을 설치하고서는 네이버가 열리지 않습니다 컴초본데원상복귀안되나요?

    • 알약(Alyac) 2017.05.16 10:57 신고  수정/삭제

      알약 워너크라이 예방조치툴을 통해 긴급조치되는 사항들은 445포트를 차단하고 SMB프로토콜을 비활성화시키는 부분이기 때문에 네이버 접속과는 관련이 없습니다. 혹시 인터넷 연결 부분을 확인해보셨는지요?

  9. sunrepresentative@gmail.com 2017.05.16 01:28 신고  수정/삭제  댓글쓰기

    블로그 운영정책에 따라 포스트 주제와 맞지 않는 댓글(트랙백) 등은 삭제될 수 있습니다.

  10. 한병준 2017.05.16 07:21 신고  수정/삭제  댓글쓰기

    블로그 운영정책에 따라 포스트 주제와 맞지 않는 댓글(트랙백) 등은 삭제될 수 있습니다.

  11. 비스타 2017.05.16 13:19 신고  수정/삭제  댓글쓰기

    비스타 사용자입니다. 비스타 사용자도 랜선을 뺀 후 방화벽 고급 설정에서 포트 차단을 먼저 시킨 후 마침 버튼 누른다음에 재부팅 한 다음 인터넷 연결후 윈도우업데이트 검색후 파워셀 관리자권한에서 명령어 1.2를 입력해야하나요??

    • 알약(Alyac) 2017.05.16 13:34 신고  수정/삭제

      윈도 비스타 OS도 현재는 MS의 공식지원이 종료된 상태가 맞지만, 비스타OS의 윈도업데이트는 2017년 4월까지는 제공되었습니다. 지난 2017년 3월 이번 SMB취약점에 대한 패치가 제공되었으므로 윈도업데이트를 진행해주시면 됩니다.
      비스타님이 말씀하신 것처럼 인터넷연결을 끊고 수동으로 포트차단을 시킨 후 중요자료 백업을 진행하신 다음, 다시 인터넷연결을 하셔서 윈도 업데이트를 진행하시길 부탁 드립니다. 또한 윈도 최신 업데이트에 성공하셨다면 이 경우 파워쉘 관리자 권한을 사용하여 추가조치는 진행하지 않으셔도 됩니다.

  12. 기무쮜 2017.05.16 22:06 신고  수정/삭제  댓글쓰기

    렌섬웨어는 왜만들어져가지고 우리를 힘들게하는거야! 만든사람 최소 철컹철컹해야함 그래도 알약 홧팅!
    언제나 감사합니돵~!

  13. 이상 2017.05.16 23:36 신고  수정/삭제  댓글쓰기

    만약 이 모든게 윈도우 업데이트를 노린 윈도우 배급사의 전략이라면 세계 최고의 기업의 전략은 어쩌면 참...

    • 알약(Alyac) 2017.05.17 10:54 신고  수정/삭제

      MS에서도 NSA해킹툴 유출된 후 WannaCry 랜섬웨어 발생 이전 2달전부터 지속적으로 보안패치를 권장해왔습니다. ^^;;

  14. 업데이트 2017.05.17 08:08 신고  수정/삭제  댓글쓰기

    윈도우 업데이트 어디있나요?

    • 알약(Alyac) 2017.05.17 10:56 신고  수정/삭제

      윈도우 OS 하단 작업표시줄 오른쪽에 보시면 깃발모양의 아이콘이 있는데, 그 아이콘을 클릭하시면 윈도업데이트 패치를 진행하실 수 있습니다. 이미 윈도업데이트가 자동으로 설정되어 있으시다면 별도의 수동업데이트는 진행하지 않으셔도 됩니다.

  15. 밀기 2017.05.17 10:47 신고  수정/삭제  댓글쓰기

    x64기반 시스템용 window 7 보안업데이트 (kB3067903) 이것만 업데이트를 못하고 계속 실패하는데 어떻게 해야할까요?

    • 알약(Alyac) 2017.05.17 10:58 신고  수정/삭제

      해당 보안패치는 MS에서 제공하는 패치이며, 아마도 워너크라이 랜섬웨어 발생 후 전세계적으로 해당 보안패치를 받기 위해 사용자가 몰려서 일시적으로 문제가 생겼을 가능성이 높습니다. 계속적으로 실패가 발생한다면 MS쪽에 문의를 해보셔야 할 것 같습니다~

  16. worud 2017.05.17 19:35 신고  수정/삭제  댓글쓰기

    만약 워너크라이에 걸렸더라도 걸린 파일이 그리 중요한 파일이 아니라면 암호화된 파일을 지우고 바탕화면을 바꿔도 아무 상관없나요?

    • 알약(Alyac) 2017.05.18 14:55 신고  수정/삭제

      말씀하신 것처럼 랜섬웨어 감염되었다고 해도 감염된 파일을 삭제하셔도 무방한 상황이라면 바탕화면 바꾸고 쓰시는게 불가능하진 않습니다. 다만, 확실한 확인을 위해 백신을 통해 정밀검사를 진행하시고, 사용중인 OS/SW에 대한 최신업데이트를 반드시 진행하시기 바랍니다. 물론, 권장하는 부분은 새로 OS를 포맷하고 새로 최신업데이트를 받는 것 입니다.

    • 익명 2017.05.21 22:24 신고  수정/삭제

      그냥 포맷하셔요
      그게 최선이예요

  17. skaqudgns 2017.05.18 08:18 신고  수정/삭제  댓글쓰기

    블로그 운영정책에 따라 포스트 주제와 맞지 않는 댓글(트랙백) 등은 삭제될 수 있습니다.

  18. 남병훈 2017.05.18 08:19 신고  수정/삭제  댓글쓰기

    세올

  19. 김민숙 2017.05.20 07:44 신고  수정/삭제  댓글쓰기

    노트북 오른쪽 하단에 알약 알리미 공익강고 어떻게 없애나요..
    무척 불편합니다.
    이렇게 불편하게 하면 안될것 같아요.

    • 알약(Alyac) 2017.05.22 10:23 신고  수정/삭제

      김민숙님, 안녕하세요. 알약을 사용하시면서 알약알리미때문에 불편함을 드리게 되어 송구합니다. 알약알리미의 경우, 알약 공개용 환경설정>알림설정 메뉴에서 알약알리미 보기라는 옵션을 체크해제 하시면 알약알리미가 발생하지 않습니다. 이 점 참고 부탁드립니다.

  20. 박상옥 2017.05.20 20:12 신고  수정/삭제  댓글쓰기

    블로그 운영정책에 따라 포스트 주제와 맞지 않는 댓글(트랙백) 등은 삭제될 수 있습니다.

  21. lim 2017.06.19 15:17 신고  수정/삭제  댓글쓰기

    랜섬웨어 걸렸는데 감염된 파일이 3개였는데요ㅠ
    아직 정상적으로 작동하는 파일들은 다른 외장하드로 옮겼는데 정상적으로 열리는 파일도 감염된건가요?

    • 알약(Alyac) 2017.06.19 16:28 신고  수정/삭제

      안녕하세요. 랜섬웨어 숙주파일이 남아있다면 추가 감염이 진행될 확률이 있습니다. 죄송하지만 말씀하신 내용만으로는 정확한 증상을 확인할 수 없어 답변을 드리기가 어렵습니다. 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 원격지원 등을 통해 확인 후 좀 더 상세한 조치를 취해 드리겠습니다. 감사합니다.

티스토리 방명록 작성
name password homepage