악성코드 분석 리포트

워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격예방을 위한 조치툴 공개!

알약(Alyac) 2017. 5. 15. 02:18

워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격예방을 위한 조치툴 공개!


안녕하세요. 이스트시큐리티 입니다. 

이스트시큐리티는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격 피해를 최소화하기 위해, 예방을 위한 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe)를 개발하여 공개합니다. 



 알약 워너크라이(WannaCry) 예방 조치툴 WannaCryChecker.exe 다운로드




알약 워너크라이(WannaCry) 예방 조치툴 기능


1. 현재 사용자 시스템에 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 취약점이 존재하는지 확인

2. 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 포트(445) 자동 차단

3. SMB v1 프로토콜 비활성화



알약 워너크라이(WannaCry) 예방 조치툴 사용법


1. 알약 워너크라이(WannaCry) 예방 조치툴을 실행합니다. 




2. 점검 시작을 클릭하고, 경고 팝업을 정독한 후 "예"를 클릭합니다. 




3. 결과에 따라 다음과 같은 창이 발생합니다. 


- 취약점이 존재하지 않을 경우




- 취약점이 존재할 경우




'예'를 클릭하면 알약 워너크라이(WannaCry) 예방 조치툴에서 자동으로 조치 후, 다음과 같은 안내창이 발생합니다. (오프라인 시 취약점 탐지 창이 발생하지 않고, 바로 조치를 진행합니다)





주의사항


주의사항 1. 

알약 워너크라이(WannaCry) 예방 조치툴 실행 후 취약점이 발견되었지만, 사용자가 윈도우 보안업데이트를 진행하지 않는다면, 알약 워너크라이(WannaCry) 예방 조치툴을 반복적으로 실행하여도 똑같이 취약점 발견이라고 팝업이 뜹니다. 

알약 워너크라이(WannaCry) 예방 조치툴 실행 후 취약점이 발견되었다면 반드시 윈도우 보안업데이트 진행 후 알약 워너크라이(WannaCry) 예방 조치툴을 다시 실행시켜 주시기 바랍니다. 

(윈도우 보안업데이트 방법 보러가기)


주의사항 2. 

알약 워너크라이(WannaCry) 예방 조치툴 실행 후 445번 포트가 차단되면 공유프린터 사용이나 파일 네트워크 공유, 혹은 해당 포트를 사용하는 정상적인 서비스들이 정상적으로 동작하지 않을 가능성이 있습니다. 이럴 때에는 당황하지 마시고, 트가 차단되어 있는 상태에서 윈도우 보안 업데이트를 진행하시기 바랍니다. 업데이트가 완료된 후 알약 워너크라이(WannaCry) 예방 조치툴로 다시 검사를 진행해 주시면, 취약점이 발견되지 않았다는 팝업창과 함께 445번 포트가 자동으로 오픈되며 정상적으로 서비스가 동작하오니 참고 부탁드립니다. 

(▶ 윈도우 보안업데이트 방법 보러가기)


주의사항 3. 

만약 사용하시는 시스템 환경에서 윈도우 보안 업데이트를 진행한 후 알약 워너크라이(WannaCry) 예방 조치툴을 다시 실행하였는데도 자동으로 445번 포트가 오픈되지 않는다면, 방화벽 룰 삭제 및 레지스트리 값 제거를 통하여 수동으로 445번 포트를 오픈할 수 있습니다. 


* 반드시 방화벽 룰 삭제, 레지스트리 값 제거 두가지 조치를 모두 취해야 합니다.


- 방화벽 룰 삭제

1. cmd 를 관리자 권한으로 실행

2. netsh advfirewall firewall delete rule name="ALYac rule for Wanner Cryptor"


- 레지스트리에서 SMB1값 제거

1. 검색창에서 regedit 실행

2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters경로로 들어감

3. SMB1 값을 우클릭 해서 삭제 

*SMB1값 삭제시 레지스트리 값을 통으로 삭제하지 않도록 주의하셔야 합니다.