WannaCrypt 랜섬웨어 주의 및 예방방법

현재 윈도우 OS 보안 취약점을 악용한 워너크립트(WannaCrypt), 일명 워너크라이(WannaCry) 랜섬웨어가 전 세계적으로 빠르게 유포되고 있어 주의가 요망됩니다.

안랩은 현재 V3 제품군과 MDS 제품에서 해당 랜섬웨어의 진단 · 제거 기능을 제공하고 있습니다. 
따라서 V3 제품군을 ‘실시간 검사 기능’과 ‘엔진 자동 업데이트 적용’ 상태로 사용하시기를 권장합니다. 
또한 Microsoft Windows 최신 보안 패치를 적용하시기를 바랍니다. 
 
워너크립트 랜섬웨어 대응 조치와 관련한 자세한 사항은 다음과 같습니다. ​

 * 대상 랜섬웨어 
 - 워너크립트(WannaCrypt), 일명 워너크라이(WannaCry)
 
* 주요 특징
 - 다양한 문서파일(doc, ppt, hwp 등) 외 다수의 파일을 암호화 (암호화된 파일의 확장자: WNCRY 또는 .WNCRYT)
 - 윈도 OS 보안취약점(MS17-010) 악용하여 네트워크 전파 수행
 
* 안랩 대응현황

 - V3 : WannaCrypt 진단/제거 (Trojan/Win32.WannaCryptor 외 다수)
 - MDS : WannaCrypt 행위차단 (Suspicious/MDP.Behavior, Malware/MDP.Create)

* 보안패치가 필수인 Windows OS

 Windows XP
 Windows Vista
 Windows 7
 Windows 8.1
 Windows 10 
 Windows Server 2003 
 Windows Server 2008
 Windows Server 2012
 Windows Server 2016​
 
* OS 별 패치 정보: Microsoft 홈페이지의 security bulletins 정보

국문 - https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

영문 - https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 
* 서비스 만료 OS의 패치 제공
MS는 지원이 만료되어 보안패치를 제공하지 않았던 XP, Win8, Server2003 등의 OS에 대해서도 보안패치를 제공합니다.

아래 보안패치 제공 URL에서 각 OS에 맞는 보안패치를 적용하십시오. 

 

- Microsoft Update 전체 목록

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 

 

- OS별 보안패치 바로가기
Security Update for Windows XP SP2 for x64-based Systems (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55250
 
Security Update for Windows XP SP3 (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55245
 
Security Update for Windows Server 2003 (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55248
 
Security Update for Windows Server 2003 for x64-based Systems (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55244
 
Security Update for Windows XP SP3 for XPe (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55247
 
Security Update for Windows 8 (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55246
 
Security Update for Windows 8 for x64-based Systems (KB4012598)
https://www.microsoft.com/en-us/download/details.aspx?id=55249​

 

자주묻는 질문

월요일만 조심하면 된다?

한국의 업무가 시작되는 날. 즉, PC가 가동되기 시작하는 월요일에 감염이 이루어지기 때문에 월요일을 조심하라는 것입니다. 

감염 시도는 요일을 가리지 않고 계속 이루어지고 있습니다.

랜선만 제거하면 된다?

랜선을 제거한 상태라면 랜섬웨어의 감염시도는 방어할 수 있으나, 근본적인 해결책은 되지 못합니다. 

영원히 랜선을 뺀 상태로 컴퓨터를 사용하는 것이 아니라면 반드시 예방 절차를 시행해주셔야 합니다. 

PC를 꺼두면 된다?

PC를 꺼둔 상태에서는 랜섬웨어 감염 시도가 이루어지지 않습니다만, 역시 근본적인 해결책은 되지 못합니다. 

PC의 전원이 들어오고, Windows 가 부팅되는 순간부터, 인터넷이 연결되어 있다면 감염위험성이 있습니다. 

Windows 10은 감염 대상이 아니다?

이번 취약점은 Windows XP 부터 Windows 10에 이르기까지 여러 운영체제가 영향을 받습니다.

따라서 Windows 10 이라고 하더라도 예방 조치를 이행해주셔야 합니다. 

중요한 파일이 없으면 그냥 써도 된다?

랜섬웨어에 의해 파일들이 변조될 경우 정상적인 프로그램 구동이 불가능할 수 있으며, 

SMB 취약점을 통해서 이번 랜섬웨어 외에도 다양한 악성코드가 침투할 수 있습니다. 

따라서 중요한 파일이 없다고 하더라도 반드시 조치해주셔야 합니다. 

예방 조치만 하면 된다?

침투 경로가 SMB 취약점으로 한정되어 있어서 예방 조치 후에는 PC를 정상적으로 사용하셔도 됩니다. 

이미 감염이 되었는데, 이렇게 하면 치료 되나?

제시된 방법은 SMB 취약점을 통해 들어오는 악성코드를 사전에 차단하기 위한 방법으로서 치료효과가 있는 것은 아닙니다.

 

악성코드 감염 예방

• 운영체제(OS) 및 기타 모든 프로그램을 최신으로 업데이트하여 악성코드가 이용할 수 있는 취약점을 제거할 것
• 출처를 알 수 없는 곳에서는 파일을 내려받지도 실행하지도 말고, 필요한 프로그램이 있으면 공식 사이트에서 내려받아 설치할 것
• 프로그램 설치 시에 본인이 원하지 않는 제휴 프로그램 등이 추가로 설치되지는 않는지 반드시 확인하면서 설치할 것
• 수상한 또는 변조된 웹 사이트는 방문하지 않을 것 (변조된 웹 사이트의 경우, 정상화 될 때 까지)
• 신뢰할 수 있는 보안 제품(백신) 1개는 필수로 설치하여 운용할 것
• 유/무선 공유기는 반드시 최신 펌웨어로 업그레이드 할 것 (펌웨어 지원이 완전 중단된 모델은 폐기 처분하거나 원격(외부) 접속 기능 영구 차단)
• 메신저 및 전자우편으로 배달된 파일은 매우 조심해서 실행해야 하며, 신뢰할 수 있는 사람에게 받은 파일이라도 보안 제품 및 멀웨어즈닷컴(https://www.malwares.com) 또는 바이러스 토탈(https://www.virustotal.com) 사이트에서 사전 검사 후 실행할 것
• 경찰, 검찰, 금융감독원 등의 금융기관에서는 어떠한 이유로도 보안 카드의 전체 또는 일부(2개 초과) 입력을 요구하지 않습니다. 반드시 숙지!
• 중요한 자료(파일)는 이유를 불문하고 반드시 백업

 

 

 

[출처] 안랩 - WannaCrypt 랜섬웨어 주의 (바이러스 제로 시즌 2) |작성자 철이

 

 

 

[출처] 안랩 - WannaCrypt 랜섬웨어 주의 (바이러스 제로 시즌 2) |작성자 철이