워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격예방을 위한 조치툴 공개!
안녕하세요. 이스트시큐리티 입니다.
이스트시큐리티는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격 피해를 최소화하기 위해, 예방을 위한 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe)를 개발하여 공개합니다.
※ 알약 워너크라이(WannaCry) 예방 조치툴 WannaCryChecker.exe 다운로드 |
알약 워너크라이(WannaCry) 예방 조치툴 기능
1. 현재 사용자 시스템에 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 취약점이 존재하는지 확인
2. 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 포트(445) 자동 차단
3. SMB v1 프로토콜 비활성화
알약 워너크라이(WannaCry) 예방 조치툴 사용법
1. 알약 워너크라이(WannaCry) 예방 조치툴을 실행합니다.
2. 점검 시작을 클릭하고, 경고 팝업을 정독한 후 "예"를 클릭합니다.
3. 결과에 따라 다음과 같은 창이 발생합니다.
- 취약점이 존재하지 않을 경우
- 취약점이 존재할 경우
'예'를 클릭하면 알약 워너크라이(WannaCry) 예방 조치툴에서 자동으로 조치 후, 다음과 같은 안내창이 발생합니다. (오프라인 시 취약점 탐지 창이 발생하지 않고, 바로 조치를 진행합니다)
주의사항
주의사항 1.
알약 워너크라이(WannaCry) 예방 조치툴 실행 후 취약점이 발견되었지만, 사용자가 윈도우 보안업데이트를 진행하지 않는다면, 알약 워너크라이(WannaCry) 예방 조치툴을 반복적으로 실행하여도 똑같이 취약점 발견이라고 팝업이 뜹니다.
알약 워너크라이(WannaCry) 예방 조치툴 실행 후 취약점이 발견되었다면 반드시 윈도우 보안업데이트 진행 후 알약 워너크라이(WannaCry) 예방 조치툴을 다시 실행시켜 주시기 바랍니다.
주의사항 2.
알약 워너크라이(WannaCry) 예방 조치툴 실행 후 445번 포트가 차단되면 공유프린터 사용이나 파일 네트워크 공유, 혹은 해당 포트를 사용하는 정상적인 서비스들이 정상적으로 동작하지 않을 가능성이 있습니다. 이럴 때에는 당황하지 마시고, 포트가 차단되어 있는 상태에서 윈도우 보안 업데이트를 진행하시기 바랍니다. 업데이트가 완료된 후 알약 워너크라이(WannaCry) 예방 조치툴로 다시 검사를 진행해 주시면, 취약점이 발견되지 않았다는 팝업창과 함께 445번 포트가 자동으로 오픈되며 정상적으로 서비스가 동작하오니 참고 부탁드립니다.
주의사항 3.
만약 사용하시는 시스템 환경에서 윈도우 보안 업데이트를 진행한 후 알약 워너크라이(WannaCry) 예방 조치툴을 다시 실행하였는데도 자동으로 445번 포트가 오픈되지 않는다면, 방화벽 룰 삭제 및 레지스트리 값 제거를 통하여 수동으로 445번 포트를 오픈할 수 있습니다.
* 반드시 방화벽 룰 삭제, 레지스트리 값 제거 두가지 조치를 모두 취해야 합니다.
- 방화벽 룰 삭제
1. cmd 를 관리자 권한으로 실행
2. netsh advfirewall firewall delete rule name="ALYac rule for Wanner Cryptor"
- 레지스트리에서 SMB1값 제거
1. 검색창에서 regedit 실행
2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters경로로 들어감
3. SMB1 값을 우클릭 해서 삭제
*SMB1값 삭제시 레지스트리 값을 통으로 삭제하지 않도록 주의하셔야 합니다.
악성코드가 삽입된 HWP 파일 유포 중! (6) | 2017.05.23 |
---|---|
Trojan.Ransom.WannaCryptor 악성코드 분석 보고서 (3) | 2017.05.17 |
워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격예방을 위한 조치툴 공개! (106) | 2017.05.15 |
전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안 (120) | 2017.05.14 |
게임 최적화 프로그램을 겨냥한 전자금융사기 조직 정황 포착, 사용자 주의! (0) | 2017.05.11 |
10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중! (0) | 2017.05.08 |
댓글 영역
win10 64bit
공유를 어떻게 풀어야 하나요?
다른PC에서 검사한 PC로 원격터미널(3389)이 안됩니다. 방화벽에는 알약룰이 없는데, 방화벽 전체를 비활성화 하면 됩니다.
랜섬웨어 사태보다 더 심각합니다.
복구가 안되요.
윈도우 버전은 7에 32비트 입니다.
방화벽룰삭제와 레지스트리에서 SMB1값 제거를 알려주신대로 해 보았는데요,
방화벽룰삭제에서 아래와 같이 오류가 뜹니다.
지정된 조건과 일치하는 규칙이 없습니다.
관리자 권한 실행도 했고, 대소문자 및 오타도 모두 확인하였는데 실행이 되지 않네요~
사용해도 무방한 공개 프로그램인가요?
게시글 복사해서 제 블로그에 게시해도 되나요?
(출처 남기고 랜섬웨어 예방 조치 방법을 알려 주고 싶어서 그렇습니다.)
마찬가지로 안됩니다. 수동으로 방화벽이랑 레지스트리부분도 봤는데 설정된 부분도 없습니다.
이거 어떻게 해결해야하나요
방화벽 인바운드 규칙에서 "파일 및 프린터 공유(SMB-In)"가 사용안함으로 되어 있어서 그렇습니다.
규칙 사용으로 변경하면 다시 파일공유가 될 것입니다.
알약(Alyac) 님은 안되면 신고만 하라하지 말고 안되는 사용자가 많으면 빠른 조치좀 해주세요!
제대로 된 원인 분석 없이 무슨 안되면 신고만 하라고 하고 문제점 조차 제대로 파악 못 하는것에 알약에 대단히 큰 실망 하고 갑니다. 꼬박 이틀 시간 날려먹었어요
2 알약위너크라이 설치해서 취약점이발견됫다는데 계속취약점이발견됫다고하면 랜섬웨어에걸린건가요?
윈도우 업데이트 서버쪽에 일시적인 오류일 가능성이 높습니다. 일정 시간이 지난 후 다시 시도해 주시기 바랍니다. 취약점이 발견되었다고 발생하는 것은 취약점이 존재한다는 의미이며, 랜섬웨어에 감염된 것은 아닌 점 참고 부탁 드립니다. 감사합니다.
우선 윈도우10에 업데이트가 최신임에도 불구하고 이번 예방툴 설치, 실행 후 폴더 공유가 되질 않습니다.
프린터는 작동을 합니다만..
이미 업데이트가 최신이기 때문에 안내 해 주신대로 최신 업데이트 후 예방 툴 재 실행으로 포트가 재개방되지는 않는 것 확인 했구요. cmd 방화벽 룰 삭제의 경우 실행할 수 없는 프로그램, 배치 파일이 아니라고 하고 레지스트리값 제거 같은 경우도 SMB1 레지스트리 자체가 없습니다. 혹시 해결 방법이 있는지요?
인터넷 연결이 어려운 문제는 저희 조치 툴이 아닌, 다른 원인이 있는 것응로 보이는데요. 기업 전산팀에 도움을 요청하시는 것을 권해 드립니다. 감사합니다.