전 세계적으로 문제가 되고 있는 WannaCry 랜섬웨어에 대한 현황 입니다.

기본적으로 쉴도스가 설치되어 있으면 안심하셔도 됩니다.

SMB취약성을 이용하여 공유폴더를 통한 전파이나 랜섬웨어의 특징상 파일을 암호화 하므로 쉴도스에 의해 차단이 가능합니다.

(단 공유폴더 내의 보호는 설정에 따라 보호가 되지 않을 수 있습니다.)

아래 WannaCry 랜섬웨어의 특징과 대응방법에 대한 내용이므로 참고하시기 바라며,

변종 출원 등으로 인하여 앞으로 지속적인 피해가 예상이 되므로 각별히 유의해 주시기 바랍니다.

□ 공격대상 확장자(주요 확장자)

1. 일반적으로 사용되는 Office 파일 확장명 (.ppt, .doc, .docx, .xlsx, .sxi).

2. 덜 일반적인 국가 별 사무실 형식 (.sxw, .odt, .hwp).

3. 아카이브, 미디어 파일 (.zip, .rar, .tar, .bz2, .mp4, .mkv)

4. 이메일 및 이메일 데이터베이스 (.eml, .msg, .ost, .pst, .edb).

5. 데이터베이스 파일 (.sql, .accdb, .mdb, .dbf, .odb, .myd).

6. 개발자의 소스 코드 및 프로젝트 파일 (.php, .java, .cpp, .pas, .asm).

7. 암호화 키 및 인증서 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).

8. 그래픽 디자이너, 예술가 및 사진 작가 파일 (.vsd, .odg, .raw, .nef, .svg, .psd).

9. 가상 시스템 파일 (.vmx, .vmdk, .vdi).

□ 암호화 확장자

.wcry, .wncry  기타

□ WannaCry  랜섬웨어 감염 증상 

.WNCRY 파일이 추가되며, 다음과 같은 파일이 표시

r.wnry , s.wnry, t.wnry , taskdl.exe , taskse.exe , 00000000.eky , 00000000.res , 00000000.pky , @WanaDecryptor@.exe , @Please_Read_Me@.txtm.vbs , @WanaDecryptor@.exe.lnk

□ 변종 출현(약 280종)

15일 보안업계에 따르면 워너크라이 랜섬웨어 변종은 지난 12일 본격적으로 확산한 이후 지금까지 약 280종

□ 피해 사례(일부)

1. 전북서 변종 랜섬웨어 피해 발생…2000달러 요구해

2. 충남 아산 버스정류장 안내판 ‘랜섬웨어’ 공격 받아

3. "CGV 랜섬웨어 감염 최대 50곳"…영화 상영전 '광고중단' 소식

4. 일본 기업, 랜섬웨어 피해 속출...닛산 이어 히타치도 시스템 오류

5. 랜섬웨어(Ransomware) '워너크라이(WannaCry)' 피해가 최소 150개국에서 20만여 건에 달하는 것으로 집계(2017/05/14 18:44)

□ 해결 방안(KISA) 

 o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로

    버전 업그레이드 및 최신 보안패치 적용

 o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고

   ① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단

        ※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)

   ② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화

     - (Windows Vista 또는 Windows Server 2008 이상)

         모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 -> ① set-ItemProperty –Path

                                “HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters” SMB1 –

                                 Type DWORD –Value 0 –Force ② set-ItemProperty –Path

                                 “HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters” SMB2 –

                                  Type DWORD –Value 0 –Force

     - (Windows 8.1 또는 Windows Server 2012 R2 이상)

         클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제

                                          -> 시스템 재시작

         서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템

                                재시작

   ③ (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정

        및 기본 포트번호(3389/TCP) 변경

   ④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화

□ 대응 방안

Windows Defender 와 Microsoft Anti-Malware 제품의 최신 엔진 버전 1.243.290.0 에서 Ransom:Win32/WannaCrypt 로 해당 맬웨어가 차단

Microsoft 보안 업데이트 MS17-010 를 수동 설치

Microsoft 보안 공지 MS17-010 – 긴급 Microsoft Windows SMB 서버용 보안 업데이트(4013389)