SMB 취약점을 이용한 랜섬웨어 공격 주의 권고

이번 랜섬웨어의 이름은 WannaCry이며 공격은 지난 3월에 발견된 윈도우의 취약점을 이용한 공격입니다. 따라서 즉시 윈도우 업데이트하시면 안전합니다.

이번 랜섬웨어는 감염 6시간안에 랜섬 즉 몸값을 요구하며 시간이 지날수록 몸값은 올라갑니다. 최초 1시간 안에 몸값을 지급하면 미화 300달라를 요구합니다.

영국의 16개 보건당국이 공격을 당했으며 보건당국에 속해 있는 병원들이 피해를 봤습니다. 내원 환자 예약을 취소했으며 급한 경우가 아니면 응급실 내원을 자제해 달라고 합니다.

스페인은 윈도우의 속칭 이터널블루라는 취약점을 이용해 공격한다고 발표했으며 즉시 윈도우 패치를 권고했습니다.

영국의 안보 전문가는 지금까지 본 사이버 공격중 최대라고 말했습니다.

러시아는 국내 컴퓨터의 1%가 감염되었다고 내무장관이 발표했습니다.

러시아의 통신회사인 Megafon도 피해를 봤으며 네트워크는 안전하다고 발표했고 현재 진정 국면이라고 발표했습니다.

미국의 국토안보국도 현지 시간 금요일 즉시 윈도우 업데이트를 실시하라고 했습니다.

카스퍼스키는 업데이트를 실시한 컴퓨터도 이번 WannaCry 램섬웨어에 취약하다고 발표했으며 이번 이터널블루 취약점은 가장 위험한 요소라고 말했습니다.

Microsoft Windows의 SMB 원격코드실행 취약점('17.3.14 패치발표, MS17-010) 악용하여 랜섬웨어 악성코드 유포

   - 패치 미적용 시스템에 대해 취약점을 공격하여 랜섬웨어 악성코드(WannaCry) 감염시킴

워너크라이(Wanna Cry) 랜섬웨어 취약성 점검 도구

WannaCryptorChecker.exe

 

영향을 받는 시스템 : 모든 운영체제 

 o Microsoft Windows Server 2003 Compute Cluster Edition
 o Microsoft Windows Server 2003 R2 Datacenter Edition(32비트 x86) 
 o Microsoft Windows Server 2003 R2 Datacenter x64 Edition 
 o Microsoft Windows Server 2003 R2 Enterprise Edition(32비트 x86) 
 o Microsoft Windows Server 2003 R2 Enterprise x64 Edition 
 o Microsoft Windows Server 2003 R2 Standard Edition(32비트 x86) 
 o Microsoft Windows Server 2003 R2 Standard x64 Edition 
 o Microsoft Windows Server 2003, Datacenter Edition(32비트 x86) 
 o Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems 
 o Microsoft Windows Server 2003, Datacenter x64 Edition 
 o Microsoft Windows Server 2003, Enterprise Edition(32비트 x86) 
 o Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems 
 o Microsoft Windows Server 2003, Enterprise x64 Edition 
 o Microsoft Windows Server 2003, Standard Edition(32비트 x86) 
 o Microsoft Windows Server 2003, Standard x64 Edition 
 o Microsoft Windows Server 2003, Web Edition
 o Windows XP Embedded

 o Windows XP Home Edition
 o Windows XP Media Center Edition 2004
 o Windows XP Media Center Edition 2005
 o Windows XP Professional
 o Windows XP Professional x64 Edition
 o Windows XP Tablet PC Edition
 o Windows XP Tablet PC Edition 2005
o Windows Vista
 o Windows 8
 o Windows 8 Enterprise
 o Windows 8 Enterprise KN
 o Windows 8 KN
 o Windows 8 Pro
 o Windows 8 Pro KN
 o Windows Embedded 8 Industry Enterprise
 o Windows Embedded 8 Industry Pro
 o Windows Embedded 8 Pro

 o Windows 7

 o Windows 8.1

 o Windows RT 8.1

 oWindows 10

 o Windows Server 2016
 o Windows Server 2012 R2
 o Windows server 2008 R2 SP1 SP2

해결 방안
 o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로

    버전 업그레이드 및 최신 보안패치 적용
 o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고
   ① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
        ※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)

   ② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
     - (Windows Vista 또는 Windows Server 2008 이상)
         모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 -> ① set-ItemProperty –Path

                                “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –

                                 Type DWORD –Value 0 –Force ② set-ItemProperty –Path

                                 “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –

                                  Type DWORD –Value 0 –Force 

     - (Windows 8.1 또는 Windows Server 2012 R2 이상)
         클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제
                                          -> 시스템 재시작 

         서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템

                                재시작
   ③ (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정

        및 기본 포트번호(3389/TCP) 변경
   ④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화

수동으로 하기 번거로우신 분들을 위하여 설정레지 첨부합니다.

Wanna Cry 랜섬웨어 차단 및 차단삭제 레지

랜섬웨어대응포트차단.reg

랜섬웨어대응포트차단(삭제).reg