2017년 5월 12일 세계 각지에서 위너크라이(WannaCry)라는 새로운 랜섬웨어에 전 세계 PC들이 피해를 받고 있다는 보고가 속속 올라오고 있습니다. 이 랜섬웨어는 최근 문제가 되고 있고 피해 사례가 많은  웜바이러스입니다. 랜섬웨어에 감염되면 사용자의 PC 파일을 암호화 시켜서 사용자가 파일을 열어 볼 수 없게 만듭니다. PC 사용하는 데는 문제가 없지만 중요한 사진과 문서와 자료를 암호화 하기 때문에 기업체에서는 큰 피해를 받을 수 있습니다. 

랜섬웨어를 배포한 악질 프로그래머는 암호화된 파일을 원래 파일로 변환시키려면 돈을 지불할 것을 요구합니다. 그러나 돈을 지불해도 암호를 풀어준다는 보장이 없기 때문에 랜섬웨어에 걸리면 전문 복구 프로그램을 이용해서 복구하거나 복구를 포기해야 합니다.  돈을 지불하지 않으면 암호화를 넘어서 파일을 강제로 삭제합니다. 


랜섬웨어 위너크라이 특징과 증상

5월 12일부터 감염 피해가 보고되고 있는 랜섬웨어 위너크라이(WannaCry)는 윈도우의 파일 공유에 사용하는 서버 메시지 블록(SMB) 원격코드 취약점을 악용한 랜섬웨어입니다. 보안업계는 지난해 미국 국가안보국인 NSA가 개발한 해킹 툴을 훔쳤다고 주장하는 새도 브로커스 해커단체의 소행으로 보고 있습니다. 미국 국가안보국의 해킹툴이 웜바이러스로 탄생했네요 여러모로 미국 국가안보국의 무차별 도감청 및 해킹은 참 문제가 많습니다.  

위너크라이는 다른 랜섬웨어와 다릅니다. 보통 랜섬웨어는 이메일 첨부파일 형태로 배포를 합니다. 따라서 이메일 첨부파일을 클릭하지 않고 인터넷만 접속해도 걸리는 무시무시한 놈입니다. 쉽게 말해서 기존 랜섬웨어들이 접촉을 통해서 전파되는 인간 전염병이었다면 이 위너크라이는 조류독감처럼 공기 중으로 전파되는 무시무시한 전파력을 가지고 있습니다. 


감영 대상 PC

MS17-010 업데이트를 하지 않는 윈도우XP, 윈도우7, 윈도우8, 윈도우8.1, 윈도우10, 윈도우 서버 2003, 2008, 2012, 2016

MS사는 지난 3월 SMB 파일 공유 문제점을 발견하고 이에 대한 긴급패치를 배포했습니다. 따라서 MS17-010 업데이트를 꼭 해야 합니다. 이것만 따로 하셔도 되지만 윈도우 업데이트를 최신으로 유지한 PC는 큰 걱정 안 해도 됩니다. 그러나 변종이 나왔다는 보도도 있고 지속적으로 변종이 나오기 때문에 주의 깊게 계속 봐야 합니다. 


감염증상 

PC가 위너크라이에 감염이 되면 'Wana Decrypt0r 2.0이라는 이름의 창이 뜹니다. 블라블라 영어로 써 있는데 상황에 대한 설명이나 복구 방법과 함께 돈을 지급하는 방법을 소개하고 있습니다. 돈은 비트코인으로 보내라면서 비트코인을 보낼 주소를 함께 표시합니다. 

위너크라이에 감염된 PC는 166종류의 확장자의 파일을 암호화 된 파일로 만들고 확장자를 .WNCRY로 만들어 버립니다. 
또한, 바탕 화면의 배경 이미지를 암호화 한 메시지가 담긴 화면으로로 변경합니다.

이 워너크라이는 인터넷과 랜상의 윈도우 컴퓨터를 무작위로 스캔하고 CVE-2017-0145을 이용하여 감염을 시도합니다. 
암호화 된 파일을 풀어주는 대가로 300~600달러 정도를 요구합니다. 4월 달 요구 대가보다 100달러 줄었습니다. 


감염 체크 방법


https://doublepulsar.below0day.com/ 에 접속한 후 SCAN IP를 눌러서 DOUBLEPULSAR가 내 PC에 있는지 체크를 해서 위와 같이 없다고 나오면 감염이 되지 않은 것으로 보면 됩니다. DoublePulsar는 미 국가안보국인 NSA에서 만든 해킹툴입니다. 이 워너크라이는 이 해킹툴을 기반으로 만들어졌습니다. 


랜섬웨어 워너크라이 예방 방법

랜섬웨어 위너크라이는 국내에서도 3건의 보고가 있었습니다. 월요일인 내일은 더 많은 피해 사례가 나올 것으로 보입니다. 따라서 랜섬웨어 위너크라이에 대한 예방 및 대처가 시급합니다. 내일 오전 회사에 출근하자 마자 인터넷 공유기를 끄거나 랜선을 빼야 합니다. 이 위너크라이는 인터넷 접속만 해도 걸릴 수 있기에 인터넷 접속을 해서는 안됩니다.

이후 예방 매뉴얼에 따라서 조치를 해주십시요. 정부는 보호나라라는 보안 사이트를 통해서 예방 요령을 배포했습니다.

SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령 바로가기 

이중에서 제가 사용하는 윈도우10를 추가 설명하겠습니다. 


윈도우10에서 랜섬웨어 위너크라이 예방 방법

윈도우 업데이트를 주기적으로 하는 분들은 큰 걱정이 없지만 윈도우 업데이트를 자동으로 설정하지 않거나 장시간 사용하지 않은 윈도우10 노트북 같은 경우는 3월 업데이트를 안 했을 수 있습니다. 따라서 1순위는 인터넷 무선 공유기를 꺼서 무선으로 인터넷에 자동 접속하는 것을 막아야 합니다. 

인터넷 연결이 안 된 상태를 확인한 후 PC나 노트북 부팅을 한 후 오른쪽 하단에 있는 말풍선 같은 것을 눌러서 모든 설정을 누르세요.

윈도우10은 제어판이 바로 보이지 않습니다. 대신 검색창에 제어판을 검색해서 실행 시킬 수 있습니다.



제어판 메뉴 중에 프로그램을 클릭합니다. 




왼쪽 상단에 있는 윈도우 기능 켜기 / 끄리를 선택합니다. 




이중에서 SMB 1.0/CIFS 파일 공유 지원 기능을 끕니다. 확인을 누르면 리부팅을 실행합니다. 무시무시한 녀석이니 혹시라도 내일 오전에 사무실 PC나 노트북 켤 때 예방 차원에서 미리 점검 후 사용하시길 바랍니다. 


신고
썬도그
하단 박스 
카카오스토리 구독하기 트위터 페이스북 구글플러스 메일

댓글을 달아 주세요

  1. 2017.05.16 18:16  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • Favicon of http://photohistory.tistory.com BlogIcon 썬도그 2017.05.16 21:39 신고  댓글주소  수정/삭제

      smb꺼서 사용하는데 큰 문제가 없다면 계속 꺼두세요 이게 변종이 계속 나오고 있어서 아예 꺼 놓는 것이 좋습니다. 업데이트를 하셨다면 큰 걱정은 안하셔도 됩니다.

  2. Favicon of http://wezard4u.tistory.com BlogIcon 사카이 2017.05.17 20:04 신고  댓글주소  수정/삭제  댓글쓰기

    기본적으로 보안 업데이트만 잘 해도 악성코드 감염을 최소화 할수가 있지 않을까 생각이 들기도 합니다.

  3. love25 2017.07.02 22:39 신고  댓글주소  수정/삭제  댓글쓰기

    님 말씀대로 윈도우 업데이트 안 해서 인터넷으로 랜섬웨어 걸렸습니다ㅜㅜ 근데 파일을 옮기기 위해 다른 정상 하드를 같이 달아야 하는데 탐색기 창에서 두 하드를 보고 복사해갈 때 정상하드로 감염이 될까요? 안전하게 감염된 하드의 자료를 옮길 방법이 없을까요?

    • Favicon of http://photohistory.tistory.com BlogIcon 썬도그 2017.07.03 09:49 신고  댓글주소  수정/삭제

      감염된 PC의 파일은 암호화 되어서 옮겨봐야 의미가 없고 정상 파일만 옮긴다고 해도 랜섬웨어 파일이 같이 묻어갈 수 있습니다. 따라서 랜섬웨어가 있는지 잘 살피셔야 합니다. 정확한건 저도 잘 모르겠네요.

      02-405-5118 정부가 운영하는 보호나라입니다. 정확하게 상담 받아보세요.



티스토리 툴바