- Wannacry Ransomware : 2017년 5월 12일 발견되기 시작한 이 랜섬웨어는 인터넷에서 첨부파일을 다운로드하여 열어보거나, 취약한 웹사이트나 배너(플래쉬 광고)에 노출되지 않아도, 동일 네트워크상에 있는 시스템이 1대라도 감염되면, 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결되어 있는 다른 시스템에게도 공격을 시도하는 매우 치명적인 랜섬웨어입니다. 주로 SMB version 1을 통하여 감염되고 있습니다. (현재 국내 영화관 예약 시스템과 심지어 오락실 게임기에도 감염되고 있습니다.)
- Wanna Cryptor 랜섬웨어는 여러 국가의 언어를 지원하고 있으며, 암호화된 데이터를 복호화하는 댓가로 $300 또는 비트코인을 요구합니다.
- 현재 이 랜섬웨어가 공격하는 주 이용포트는 삼바포트입니다. (TCP 139, 445 / UDP 137, 138)
- Windows 3월 이후 최신패치를 했다면 방어가 가능합니다. (Download Windows Security Patch : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
- 윈도우 보안 패치 및 확인방법 (윈도우 시작버튼 – 실행을 선택하여 아래 명령을 입력한 후 엔터키를 눌러서 보안 패치가 되어있는지 확인합니다.)
- Windows 7 : KB4012212 or KB4012215
- wmic QFE Get HotFixID,InstalledOn | find “KB4012212”
- wmic QFE Get HotFixID,InstalledOn | find “KB4012215”
- Windows Server 2008 R2 :KB4012212 or KB4012215
- wmic QFE Get HotFixID,InstalledOn | find “KB4012212”
- wmic QFE Get HotFixID,InstalledOn | find “KB4012215”
- Windows Server 2012 R2 : KB4012213 or KB4012216
- wmic QFE Get HotFixID,InstalledOn | find “KB4012213”
- wmic QFE Get HotFixID,InstalledOn | find “KB4012216”
- Windows 10 : KB4012606
- wmic QFE Get HotFixID,InstalledOn | find “KB4012606”
- Windows 10(Build 1511) : KB4013198
- wmic QFE Get HotFixID,InstalledOn | find “KB4013198”
- Windows 10(Build 1607) : KB4013429
- wmic QFE Get HotFixID,InstalledOn | find “KB4013429”
- Windows 7 : KB4012212 or KB4012215
- 이 랜섬웨어에 영향을 받는 윈도우 버젼들은 아래와 같습니다.
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows Server 2008 R2
- Windows 8.1
- Windows Server 2012 and Windows Server 2012 R2
- Windows RT 8.1
- Windows 10
- Windows Server 2016
- Windows Server Core installation option
- 국내 공유기의 대부분을 차지하고 있는 IPTime 사의 공유기의 경우 아래와 같이 해당 IP Adress (Outbound IP Address Block)를 막아놓는 방법도 있습니다. (관리자 화면 – 관리도구 – 고급 설정 – 보안 기능 – 인터넷/WiFi 사용 제한) 해당되는 IP address는 아래와 같습니다. (포트번호까지 지정해서 막아놓을 수 있는 공유기이면 포트번호까지 적어놓으시면 됩니다.)
- 197.231.221.221:9001
- 128.31.0.39:9191
- 149.202.160.69:9001
- 46.101.166.19:9090
- 91.121.65.179:9001
- 2.3.69.209:9001
- 146.0.32.144:9001
- 50.7.161.218:9001
- 217.79.179.177:9001
- 213.61.66.116:9003
- 212.47.232.237:9001
- 81.30.158.223:9001
- 79.172.193.32:443
- 38.229.72.16:443
- 그리고 아래 규칙을 추가해 놓으시면 1차적으로 공유기단에서 외부 침입을 막을 수 있습니다. 단, 개인 서버- NAS를 사용하는 경우 파일서버 기능에 문제가 생길 수 있습니다.
- 내부 <- 외부 , 내부목적지 TCP/UDP 137~139 – 모든 내부 IP
- 내부 <- 외부 , 내부목적지 TCP 445 – 모든 내부 IP
- 또는, 첨부 파일을 다운받아 실행시켜서 일시적으로 SMB 포트를 꺼놓는 방법이 확실합니다. (확장자를 변경하여 실행시키시면 됩니다. Block_wannacry_ransomware.txt -> Block_wannacry_ransomware.bat) 보안패치 완료 그리고 해당 랜섬웨어의 디크립트 방법이 발견된다면, 첨부 배치파일의 Value 0을-> Value 1로 변경하시고 SMB 기능을 다시 활성화 시키시면 됩니다.
- 그 이외의 랜섬웨어 예방 및 복구 방법은 다음글을 참고하세요 -> 랜섬웨어 예방 및 복구
