본문 바로가기
2017. 5. 15. 11:20

랜섬웨어 예방법 wannacry ransomware (KISA 보호나라)

자고 일어나보니 (워너크라이 랜섬웨어) wannacry ransomware때문에 난리다.


그럴만도 하지 이번엔 컴퓨터 켜 놓고 가만 있어도 걸리는 무서운 랜섬웨어니까


랜섬웨어나 바이러스로 같은글을 좀더 자세하게 두번적는 경우는 처음이네





나도 보통은 윈도우 업데이트를 잘하지 않는데


네이버 메인에도 걸어놓고 심각하긴 심각한듯.


어제 밤에 글 하나 썻는데 아침에 일어나서 뉴스보니 지하철 광고판도 극장도


간염되어 위와 같은 사진이 떠 있고.


바이러스도 마찬가지지만 특히 랜섬웨어는 걸리기 전에 예방을 하고 안걸리는 것이 최선이다.


걸리면 위쪽 사진처럼 Decrypt를 누르면 몇개는 복구 복호화 해주고 나머지는


더 할려면 비트코인을 지불해라라고 데이터를 인질로 잡고 협박을 한다.


감염되는 파일은 각종 문서 파일 이미지 등 거의 죄다 암호화 되서 감염된다고 보면 된다.(jpg, png, pdf, txt, xls, xlsx, 심지어 hwp까지)


감염되기 전에 SMB 취약점을 이용해서 뭔가 낚시성 파일을 실행하지 않아도 걸린다. 무서운놈인거지


검색해 보니 제어판 -> 프로그램 및 기능에서 Windows 기능 켜기/끄기를 클릭하면 


새창이 뜨는데 거기 목록중 SMB 1.0/CIFS 파일 공유 지원의 체크를 해제하라고 되어 있다.



엉? 저는 Window 7인데 그 항목이 없는데요? 어떻게 해야 할까?



이전 글(http://sway.tistory.com/entry/워너크라이-랜섬웨어-SMB-취약점을이용한-랜섬웨어)에도 대략적으로 썻지만 




나같은 경우는 없었기 때문에 SMB 포트 차단을 하였다.


1.다시 제어판 -> Windows 방화벽 -> 고급 설정



2.고급 보안이 포함된 Windows 방화벽 창에서 인바운드 규칙 선택 -> 새 규칙 클릭



3.새 인바운드 규칙 마법사 새창이 뜨는 부분에서 포트 선택 후 다음



4. 이 규칙은 TCP에 적용됩니까. UDP에 적용됩니까? 항목에 TCP 선택

   그리고 특정 로컬포트에 139, 445 입력 다음



5.다음 항목에서 기본값 연결 허용인데 연결 차단 선택 후 다음



6.이 규칙이 적용되는 시기는 언제입니까?에 도메인/개인/공용에 올체크되어 있는지 확인후 다음



7.그다음 적당한 이름을 넣고 완료.


1~7번 과정을 한번더 해야 한다 TCP로 했으니 UDP로 


다시 인바운드 규칙에서 새규칙 클릭 후 프로토콜은 UDP로 선택 후 포트는 137, 138로 하고 위 과정을 쭉 진행하면 완료.


혹은 인바운드 규칙에서 포트 컬럼 클릭해서 포트별로 정렬 시킨 후에 왼쪽 체크 아이콘이 초록색인 놈 중에서 UDP 137, 138 , TCP 139인놈들을 선택후 오른쪽에 규칙 사용 안함 클릭하면 됨.


음.. 여러가지를 다 적으면 더 헷갈릴려나.







 * 혹은 Windows Powershell 이용


윈도우의 시작 버튼 클릭 후 젤 아래 프로그램 및 파일 검색창에 Windows Powershell(윈도우 파워쉘) 입력 후 위쪽에 마우스 오른쪽 버튼 눌러서 관리자 권한으로 실행 후





뜨는 창에서 


set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 -Type DWORD -Value 0 -Force 


set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 -Type DWORD -Value 0 -Force 


위 두명령을 한번씩 복사해서 붙여 넣고 실행 하면 된다.


Window Powershell 에서는 Ctrl v가 안되고 마우스 오른쪽 버튼 클릭하면 붙여넣기가 된다.



이스트소프트, 안랩, 한컴시큐어, 라온시큐어, SGA솔루션즈, 이니텍 등 랜섬웨어 하니 오늘 보안관련주가 급등하네 허허. 미리 사놓을껄


실시간 워너크라이/워너크립트 랜섬웨어(wannacry / wannacrypt ransomware) 감염 현황.


https://intel.malwaretech.com/WannaCrypt.html



나처럼 보안패치를 잘 하지 않는 사람들은

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

(이거 어제까지만해도 들어가졌는데 지금 안들어가지네 엄청나게 접속을 해서 그런건가)


가서 자기한테 맞는 이정도 보안패치는 해두자.


한번 읽어 볼것들

https://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=1557



현재 보호나라 홈페이지를 입력하면( http://www.boho.or.kr) 


네이버 블로그의 랜섬웨어 예방 요령이라는 페이지로 자동 이동됨.


http://m.post.naver.com/viewer/postView.nhn?volumeNo=7658112&memberNo=3326308



지금 난리인데 지금 걸리지 않는다고 영원히 걸리지 않는게 아니고 나중에라도 걸린다. 그런 경험도 있고 


한바탕 지나가면 변종이 나오고 그러겠지. 




저작자표시 비영리 변경금지


티스토리툴바