회원가입 | ID / PASS 찾기
공지사항
1:1문의
자주묻는질문
자료실
ns1.passway.co.kr
210.118.170.10
ns2.passway.co.kr
210.118.170.15
Home > 고객센터 > 공지사항
 
작성일 : 17-05-15 11:53
[보안] WannaCry 랜섬웨어 대응방법 안내
 글쓴이 : 최고관리자
조회 : 30,088  

랜섬웨이 관련하여 MS로부터 대응 방법을 전달 받아 공유 드리오니 업무에 참고하시기 바랍니다.

Microsoft 보안 업데이트가 적용되지 않은 취약한 Windows 시스템을 겨냥 한 ‘WannaCry(워너크라이) 랜섬웨어’의 공격이 전세계적으로 진행되고 있습니다.

랜섬웨어란 컴퓨터 사용자의 파일을 인질로 금전을 요구하는 악성 프로그램으로 몸값을 뜻하는 랜섬(Ransom)과 소프웨어(Software)의 합성어입니다.

WannaCry 랜섬웨어 감염 시 문서 파일, DB파일등을 암호화하며, 암호를 푸는 대가로 비트 코인을 요구합니다.

 

WannaCry 랜섬웨어 는 Microsoft 보안 업데이트를 적용하지 않은 환경의 Windows 취약점을 악용한 것으로, 2017 3월 발표된 Microsoft 보안 업데이트 [MS17-010 Microsoft Windows SMB 서버용 보안 업데이트(4013389)]에서 이미 이 취약점이 해결되었습니다. MS17-010 보안 업데이트 적용하여 공격을 예방할 수 있으며, 또한 해당 업데이트가 이미 적용된 Windows 시스템은 이번 공격에서 안전합니다.

 

아래의 대응 방법을 적용하여 이번 랜섬웨어 감염으로 인한 피해가 없으시기를 바랍니다.

 

 

[WannaCry 랜섬웨어 대응 방법]


* 조치 방법

   사용하고 있는 백신 소프트웨어를 최신으로 업데이트하고 시스템을 검사합니다.

만일 설치된 백신 소프트웨어가 없다면 Microsoft 백신 소프트웨어를 이용하십시오.
Windows Defender
Microsoft Anti-Malware 제품의 최신 엔진 버전 1.243.290.0 에서 Ransom:Win32/WannaCrypt 로 해당 맬웨어가 차단됩니다.

-       >Windows 8.1 Windows 10 : Windows Defender 이용

-       >Windows 7, Windows Vista: Microsoft Security Essentials 이용

-       >Microsoft 무료 PC보안 검사 : Microsoft Safety Scanner 이용

 

    Windows Update 또는 WSUS등을  이용하여 시스템을 최신으로 보안 업데이트 합니다.
WU
을 사용할 수 없는 경우, Microsoft 보안 업데이트 MS17-010 를 수동 설치합니다. OS별 설치 경로는 아래와 같습니다.


Microsoft
보안 공지 MS17-010 – 긴급 Microsoft Windows SMB 서버용 보안 업데이트(4013389)

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx


   보안 업데이트 MS17-010을 적용할 수 없다면, Microsoft SMBv1 사용 안함’으로 설정합니다.
WannaCry 랜섬웨어는 Microsoft SMBv1 원격 코드 실행 취약점(CVE-2017-0145) 을 이용합니다. 패치를 설치하지 못하는 경우 SMBv1 사용을 해제하여 이 취약점 악용을 피할 수 있으나 가능한 빠른 시일내에 패치를 적용할 것을 권장합니다.


[SMBv1
사용 안 함]

Windows Vista 이상을 실행하는 고객
Microsoft 기술 자료 문서 2696547
을 참조하십시오.


Windows 8.1 또는 Windows Server 2012 R2 이상을 실행하는 고객의 대안 방법
클라이언트 운영 체제:

1..     >제어판을 열고 프로그램을 클릭한 후 Windows 기능 사용/사용 안 함을 클릭합니다.

2..     >Windows 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫습니다.

3..     >시스템을 다시 시작합니다


서버 운영 체제:

4..     >서버 관리자를 열고 관리 메뉴를 클릭한 후 역할 및 기능 제거를 선택합니다.

5..     >기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫습니다.

6..     >시스템을 다시 시작합니다

해결 방법의 영향. 대상 시스템에서 SMBv1 프로토콜이 사용되지 않도록 설정됩니다.
해결 방법을 실행 취소하는 방법. 문제 해결 단계를 다시 수행하면서 SMB1.0/CIFS 파일 공유 지원 기능을 활성 상태로 복원합니다.


    네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
- SMB
관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
 
SMB 서비스 포트 차단 시 공유 및 기타 관련 서비스가 중지될 수 있으니 적용 전 반드시 영향이 없는지 점검하신 후 적용하시기 바랍니다.


- 관련 문서 : KB 3185535 - 특정 방화벽 포트를 차단하여 SMB 트래픽이 회사 환경을 빠져나가지 못하도록 하기 위한 지침


WannaCry 랜섬웨어 감염증상
..WNCRY
파일이 추가되며, 다음과 같은 파일이 표시됩니다.
r.wnry , s.wnry, t.wnry , taskdl.exe , taskse.exe , 00000000.eky , 00000000.res , 00000000.pky , @WanaDecryptor@.exe , @Please_Read_Me@.txtm.vbs , @WanaDecryptor@.exe.lnk


추가 정보

Microsoft Security Response Center Blog,  Customer Guidance for WannaCrypt attacks : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Microsoft Malware Protection Center Blog, WannaCrypt ransomware worm targets out-of-date systems: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/ 

Microsoft 보안 공지 MS17-010 – 긴급 Microsoft Windows SMB 서버용 보안 업데이트(4013389) : https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx 

CVE-2017-0145 | Windows SMB 원격 코드 실행 취약성 : https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2017-0145


문의 사항

이와 관련하여 문의 사항이 있으신 경우 아래로 연락 주십시오.

Microsoft 고객 지원 센터 : 1577-9700 


 
   
 

상호: 나눔시스템 | 대표: 김광동 | 사업자등록번호: 775-08-00702 | 대표번호: 1544-2373 | 팩스: 031-811-4047
주소: 경기도 고양시 덕양구 충장로 118-30 | 통신판매업 신고번호: 서울강남 0341 | 이메일 : web@passway.co.kr