포스팅 내용

악성코드 분석 리포트

워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격예방을 위한 조치툴 공개!

워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격예방을 위한 조치툴 공개!


안녕하세요. 이스트시큐리티 입니다. 

이스트시큐리티는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격 피해를 최소화하기 위해, 예방을 위한 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe)를 개발하여 공개합니다. 



 알약 워너크라이(WannaCry) 예방 조치툴 WannaCryChecker.exe 다운로드




알약 워너크라이(WannaCry) 예방 조치툴 기능


1. 현재 사용자 시스템에 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 취약점이 존재하는지 확인

2. 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 포트(445) 자동 차단

3. SMB v1 프로토콜 비활성화



알약 워너크라이(WannaCry) 예방 조치툴 사용법


1. 알약 워너크라이(WannaCry) 예방 조치툴을 실행합니다. 




2. 점검 시작을 클릭하고, 경고 팝업을 정독한 후 "예"를 클릭합니다. 




3. 결과에 따라 다음과 같은 창이 발생합니다. 


- 취약점이 존재하지 않을 경우




- 취약점이 존재할 경우




'예'를 클릭하면 알약 워너크라이(WannaCry) 예방 조치툴에서 자동으로 조치 후, 다음과 같은 안내창이 발생합니다. (오프라인 시 취약점 탐지 창이 발생하지 않고, 바로 조치를 진행합니다)





주의사항


주의사항 1. 

알약 워너크라이(WannaCry) 예방 조치툴 실행 후 취약점이 발견되었지만, 사용자가 윈도우 보안업데이트를 진행하지 않는다면, 알약 워너크라이(WannaCry) 예방 조치툴을 반복적으로 실행하여도 똑같이 취약점 발견이라고 팝업이 뜹니다. 

알약 워너크라이(WannaCry) 예방 조치툴 실행 후 취약점이 발견되었다면 반드시 윈도우 보안업데이트 진행 후 알약 워너크라이(WannaCry) 예방 조치툴을 다시 실행시켜 주시기 바랍니다. 

(윈도우 보안업데이트 방법 보러가기)


주의사항 2. 

알약 워너크라이(WannaCry) 예방 조치툴 실행 후 445번 포트가 차단되면 공유프린터 사용이나 파일 네트워크 공유, 혹은 해당 포트를 사용하는 정상적인 서비스들이 정상적으로 동작하지 않을 가능성이 있습니다. 이럴 때에는 당황하지 마시고, 트가 차단되어 있는 상태에서 윈도우 보안 업데이트를 진행하시기 바랍니다. 업데이트가 완료된 후 알약 워너크라이(WannaCry) 예방 조치툴로 다시 검사를 진행해 주시면, 취약점이 발견되지 않았다는 팝업창과 함께 445번 포트가 자동으로 오픈되며 정상적으로 서비스가 동작하오니 참고 부탁드립니다. 

(▶ 윈도우 보안업데이트 방법 보러가기)


주의사항 3. 

만약 사용하시는 시스템 환경에서 윈도우 보안 업데이트를 진행한 후 알약 워너크라이(WannaCry) 예방 조치툴을 다시 실행하였는데도 자동으로 445번 포트가 오픈되지 않는다면, 방화벽 룰 삭제 및 레지스트리 값 제거를 통하여 수동으로 445번 포트를 오픈할 수 있습니다. 


* 반드시 방화벽 룰 삭제, 레지스트리 값 제거 두가지 조치를 모두 취해야 합니다.


- 방화벽 룰 삭제

1. cmd 를 관리자 권한으로 실행

2. netsh advfirewall firewall delete rule name="ALYac rule for Wanner Cryptor"


- 레지스트리에서 SMB1값 제거

1. 검색창에서 regedit 실행

2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters경로로 들어감

3. SMB1 값을 우클릭 해서 삭제 

*SMB1값 삭제시 레지스트리 값을 통으로 삭제하지 않도록 주의하셔야 합니다.









저작자 표시
신고
  1. 이전 댓글 더보기
  2. 어둠의경로 2017.05.15 19:35 신고  수정/삭제  댓글쓰기

    어둠의경로로 이용중인 윈도우7은 못 쓰는건가요?

    • 알약(Alyac) 2017.05.16 10:42 신고  수정/삭제

      안녕하세요. 불법 윈도우인 경우에도 보안패치에 한해서는 지원이 되는점 참고부탁드립니다. 감사합니다.

  3. 쪼미 2017.05.15 20:13 신고  수정/삭제  댓글쓰기

    으아아아아ㅏ앙

  4. 쪼미 2017.05.15 20:13 신고  수정/삭제  댓글쓰기

    아!

  5. 꼬부기 2017.05.15 20:15 신고  수정/삭제  댓글쓰기

    근데 이상히게 나오는데ㅜㅜ어뜨카죠?

    • 알약(Alyac) 2017.05.15 20:48 신고  수정/삭제

      안녕하세요. 죄송하지만 말씀하신 내용만으로는 구체적인 정황을 확인할 수 없어 답변이 어렵습니다. 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 좀 더 상세한 내용을 회신 드리도록 하겠습니다. 감사합니다.

  6. 핑이 2017.05.15 20:15 신고  수정/삭제  댓글쓰기

    저도 꼬부기님 처럼돼요ㅜㅜ

    • 알약(Alyac) 2017.05.15 20:48 신고  수정/삭제

      안녕하세요. 죄송하지만 말씀하신 내용만으로는 구체적인 정황을 확인할 수 없어 답변이 어렵습니다. 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 좀 더 상세한 내용을 회신 드리도록 하겠습니다. 감사합니다.

  7. 2017.05.15 22:45 신고  수정/삭제  댓글쓰기

    설치하니 게임들이 다 튕기네요 레지스트리에도 해당 파라미터 없고 룰도 없다는데 증상이 해결되지않습니다 ㅡㅡ 다른 지우는 방법없나요
    win10 64bit

    • 지나가는사람 2017.05.15 23:33 신고  수정/삭제

      SMBv1 Disable, 445 TCP Inbound Deny와 게임과는 아무런 관련 없습니다...

    • 알약(Alyac) 2017.05.16 10:44 신고  수정/삭제

      안녕하세요. 윈도우 보안업데이트 완료하신 후 다시 조치툴을 실행하시면 자동으로 포트 오픈이 됩니다. 자세한 내용은 포스팅 내 주의사항을 참고부탁드립니다. 감사합니다.

  8. 오태호 2017.05.16 09:46 신고  수정/삭제  댓글쓰기

    프로그램을 돌린후 취약점이 발견되지 않았다고 하는데 포트가 막혀 공유가 안됩니다.
    공유를 어떻게 풀어야 하나요?

    • 알약(Alyac) 2017.05.16 10:44 신고  수정/삭제

      안녕하세요. 윈도우 보안업데이트 완료하신 후 다시 조치툴을 실행하시면 자동으로 포트 오픈이 됩니다. 자세한 내용은 포스팅 내 주의사항을 참고부탁드립니다. 감사합니다.

    • 오태호 2017.05.16 11:39 신고  수정/삭제

      업데이트확인 후 업데이트 할께없고 그후 조치툴을 실행해도 공유가 안됍니다

    • 알약(Alyac) 2017.05.16 13:12 신고  수정/삭제

      안녕하세요. 먼저 기존에 공유하실 때 445번 포트를 사용하신것이 맞는지 확인부탁드립니다. 만약 445번 포트를 사용하신것이 맞다면 포스팅 내 안내되어 있는 수동조치를 취해주시기 바랍니다. 만약 그 후에도 문제가 있으시다면 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 좀 더 상세한 내용을 회신 드리도록 하겠습니다. 감사합니다.

  9. 정말 2017.05.16 11:11 신고  수정/삭제  댓글쓰기

    알약 워너크라이(WannaCry) 예방 조치툴..... 사용하고 싶은데요... 라이선스가 궁금합니다.. 회사에서 사용해도 되나요 ?

    • 알약(Alyac) 2017.05.16 11:42 신고  수정/삭제

      안녕하세요. 알약입니다. 해당 툴은 회사에서 사용하셔도 됩니다. 감사합니다.

  10. 큰일 2017.05.16 12:58 신고  수정/삭제  댓글쓰기

    취약점이 발견되지 않았다고 나오는데

    다른PC에서 검사한 PC로 원격터미널(3389)이 안됩니다. 방화벽에는 알약룰이 없는데, 방화벽 전체를 비활성화 하면 됩니다.

    랜섬웨어 사태보다 더 심각합니다.
    복구가 안되요.

    윈도우 버전은 7에 32비트 입니다.

    • 알약(Alyac) 2017.05.16 13:10 신고  수정/삭제

      알약 워너크라이 예방조치툴을 통해 긴급조치되는 사항들은 445포트를 차단하고 SMB프로토콜을 비활성화 시키는 부분이기 때문에 3389포트와는 아무런 상관이 없습니다. 알약 조치툴이 아닌 다른원인을 찾아보셔야 할 듯 싶습니다. 감사합니다.

  11. jahee 2017.05.16 13:28 신고  수정/삭제  댓글쓰기

    WannaCryptorChecker 확인 후 보안업데이트 모두 확인하였으나 445포트에 연결되어 있는 무선프린터 및 스캐너가 작동하지 않습니다.
    방화벽룰삭제와 레지스트리에서 SMB1값 제거를 알려주신대로 해 보았는데요,
    방화벽룰삭제에서 아래와 같이 오류가 뜹니다.

    지정된 조건과 일치하는 규칙이 없습니다.

    관리자 권한 실행도 했고, 대소문자 및 오타도 모두 확인하였는데 실행이 되지 않네요~

    • 알약(Alyac) 2017.05.16 14:39 신고  수정/삭제

      안녕하세요 윈도우 업데이트 후 알약 조치툴을 한번 더 실행시켰는데도 자동으로 포트오픈이 안된다는 말씀이신가요? 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 도움을 드리도록 하겠습니다. 감사합니다.

  12. 문의자 2017.05.16 14:39 신고  수정/삭제  댓글쓰기

    얄약에서 공개한 조치툴 일반 기업에서
    사용해도 무방한 공개 프로그램인가요?

    • 알약(Alyac) 2017.05.16 14:40 신고  수정/삭제

      안녕하세요. 저희 조치툴은 일반기업에서도 사용가능한 프로그램입니다. 감사합니다.

  13. 2017.05.16 17:38 신고  수정/삭제  댓글쓰기

    그 포트 차단을 하고 SMB1.0 인가 그건 윈7에선 차단 못하다고 하길레 포트 차단만 하고 이 점검하니까 문제 없다고 뜨는데 포트차단만 해도 조금이나마 안심할수 있을까요 ..?

    • 알약(Alyac) 2017.05.17 09:37 신고  수정/삭제

      안녕하세요. 포트 차단은 임시조치로, 근본적인 치료는 윈도우 보안업데이트를 완료하셔야 합니다. 윈도우 보안업데이트와 관련된 자세한 내용은 http://blog.alyac.co.kr/1094를 참고 부탁드립니다. 감사합니다.

  14. 장세민 2017.05.16 21:19 신고  수정/삭제  댓글쓰기

    안녕하세요?

    게시글 복사해서 제 블로그에 게시해도 되나요?
    (출처 남기고 랜섬웨어 예방 조치 방법을 알려 주고 싶어서 그렇습니다.)

    • 알약(Alyac) 2017.05.17 09:38 신고  수정/삭제

      안녕하세요. 출처만 남겨주시면 가능합니다. 감사합니다.

  15. 나르시 2017.05.17 10:32 신고  수정/삭제  댓글쓰기

    공지하신 툴로 실행했는데 회사 프로그램이 안되어서 다시 알약 툴로 재실행을 했는데
    마찬가지로 안됩니다. 수동으로 방화벽이랑 레지스트리부분도 봤는데 설정된 부분도 없습니다.

    이거 어떻게 해결해야하나요

    • 알약(Alyac) 2017.05.17 11:08 신고  수정/삭제

      안녕하세요. 윈도우 보안업데이트를 완료하시고 툴을 재실행 해보시기 바랍니다. 또한 회사 프로그램이 445번 포트를 사용하는지 확인부탁드립니다. 만약 445번 포트를 사용하지 않는다면 알약 조치툴이 아닌 다른 원인을 찾아보셔야 할 듯 싶습니다. 해당 회사 프로그램이 445번 포트를 사용하는것이 맞고, 윈도우 보안업데이트 완료 후 알약 툴을 실행시켰는데도 해결되지 않는다면, 알약 [신고하기]를 통하여 신고 부탁 드립니다. 감사합니다.

  16. 쥐약 2017.05.17 18:18 신고  수정/삭제  댓글쓰기

    점검결과 "문제없음" 판정 후 파일 공유가 안되는 것은
    방화벽 인바운드 규칙에서 "파일 및 프린터 공유(SMB-In)"가 사용안함으로 되어 있어서 그렇습니다.
    규칙 사용으로 변경하면 다시 파일공유가 될 것입니다.

    알약(Alyac) 님은 안되면 신고만 하라하지 말고 안되는 사용자가 많으면 빠른 조치좀 해주세요!

    • 알약(Alyac) 2017.05.18 14:50 신고  수정/삭제

      안녕하세요. 저희 조치툴에서는 쥐약님이 말씀하신 그 룰을 전혀 건드리지 않습니다. 특정 OS에서 예외상황이 발생하는 것인지에 대해 확인이 필요하여 사용자 분들께 신고를 요청드리는 점 양해 부탁드립니다.

  17. 남태균 2017.05.20 13:31 신고  수정/삭제  댓글쓰기

    알약 good

  18. 알약때문에 2017.05.20 15:38 신고  수정/삭제  댓글쓰기

    점검 결과 문제 없음 판정인데 멀정히 잘되던 SMB가 갑자기 안되어서 이틀을 꼬박 원인 찾느라 고생 했는데 결국 위에 쥐약님 글 보고 해결 했네요

    제대로 된 원인 분석 없이 무슨 안되면 신고만 하라고 하고 문제점 조차 제대로 파악 못 하는것에 알약에 대단히 큰 실망 하고 갑니다. 꼬박 이틀 시간 날려먹었어요

    • 알약(Alyac) 2017.05.22 09:50 신고  수정/삭제

      안녕하세요. 저희 조치툴에서는 쥐약님이 말씀하신 그 룰을 전혀 건드리지 않습니다. 특정 OS에서 예외상황이 발생하는 것인지에 대해 확인이 필요하여 사용자 분들께 신고를 요청드리는 점 양해 부탁 드립니다. 불편을 드려 죄송합니다.

  19. 알약 2017.05.21 18:09 신고  수정/삭제  댓글쓰기

    1 윈도우7쓰고잇고 알약에서윈도우보안업데이트하면 윈도우업데이트서버연결이 실패했다뜨는데 윈도우업데이트 실패한건가요?
    2 알약위너크라이 설치해서 취약점이발견됫다는데 계속취약점이발견됫다고하면 랜섬웨어에걸린건가요?

    • 알약(Alyac) 2017.05.22 09:53 신고  수정/삭제

      안녕하세요. 윈도우 업데이트 서버연결이 실패했다고 뜨는 것은, 사용자 급증에 따른
      윈도우 업데이트 서버쪽에 일시적인 오류일 가능성이 높습니다. 일정 시간이 지난 후 다시 시도해 주시기 바랍니다. 취약점이 발견되었다고 발생하는 것은 취약점이 존재한다는 의미이며, 랜섬웨어에 감염된 것은 아닌 점 참고 부탁 드립니다. 감사합니다.

  20. dd 2017.05.22 10:20 신고  수정/삭제  댓글쓰기

    위에 저와 비슷한 증상을 겪는 분들이 계신거 같은데..
    우선 윈도우10에 업데이트가 최신임에도 불구하고 이번 예방툴 설치, 실행 후 폴더 공유가 되질 않습니다.
    프린터는 작동을 합니다만..
    이미 업데이트가 최신이기 때문에 안내 해 주신대로 최신 업데이트 후 예방 툴 재 실행으로 포트가 재개방되지는 않는 것 확인 했구요. cmd 방화벽 룰 삭제의 경우 실행할 수 없는 프로그램, 배치 파일이 아니라고 하고 레지스트리값 제거 같은 경우도 SMB1 레지스트리 자체가 없습니다. 혹시 해결 방법이 있는지요?

    • 알약(Alyac) 2017.05.22 10:55 신고  수정/삭제

      안녕하세요. 알약 [신고하기]를 통하여 신고해주시면 도움을드리겠습니다. 감사합니다.

  21. 도와줘요 2017.06.07 11:11 신고  수정/삭제  댓글쓰기

    Cmd통한 삭제도 안되고 레지삭제도 안됩니다. 포트가 막혀 인터넷이 연결이 안됩니다. 회사컴이라 포멧도 못하고 오히려 랜섬웨어를 걸린꼴이 되어버렸습니다. 포트푸는 툴을 만들어주시던가 근본적인 해결책을 주세요. 알약 안깔았으니 신고하기 누르라고 답해주지 마세요. 보니까 저처럼 곤란한 사람들이 만은데 빠른 해결책이 있어보입니다

    • 알약(Alyac) 2017.06.07 13:28 신고  수정/삭제

      안녕하세요. 저희가 제공하는 알약 워너크라이 예방조치툴은 445번 포트를 차단합니다. 해당 포트는 인터넷 연결과는 관련이 없는 점 확인해주시기 바랍니다.
      인터넷 연결이 어려운 문제는 저희 조치 툴이 아닌, 다른 원인이 있는 것응로 보이는데요. 기업 전산팀에 도움을 요청하시는 것을 권해 드립니다. 감사합니다.

티스토리 방명록 작성
name password homepage