워너크라이(WannaCry) 랜섬웨어 감염 예방 방법

 

  워너크라이(WannaCry) 랜섬웨어

  

랜섬웨어란 '몸값(Ransom)'과 '소프트웨어(Software)'의 합성어로, 

 

시스템에 대한 접근을 제한하거나 문서, 그림파일 등을 암호화해 사용할 수 없도록 만든 후 

 

금픔을 요구하는 악성 프로그램을 일컫는 말입니다.

  

 

 

< 대표적인 랜섬웨어 중 하나인 크립토락커(Crypt0L0cker) >

 

이번에 랜섬웨어 중 하나인 워너크립트(WannaCrypt), 일명 워너크라이(WannaCry)가 

 

전 세계적으로 확산되기 시작하면서 한국에도 이슈가 되고 있습니다.

 

워너크라이 감염 시, 동영상 파일(avi, mp4, wmv), 이미지 파일(gif, jpeg, jpg, png, tif, tiff), 

 

오피스 파일(doc, docx, hwp, pdf, ppt, pptx) 및 기타 중요 파일들(zip, pdf)을 암호화하고

파일명 끝에 WCRY라는 확장자를 추가합니다.

 

그리고 돈을 요구하는 메시지가 표시되는데, 처음에는 300~600달러를 요구하며

시간이 지날수록 가격을 올린다고 합니다.

 

 

워너크라이는 SMB 원격 코드 실행 취약점(MS17-010)을 이용한 

 

파일 공유 기능을 통해 감염 및 전파되기 때문에 감염을 막기 위해서는 

사용자의 적극적인 대처가 필요합니다. 

 

 

  워너크라이 랜섬웨어 감염 예방 방법

  

1. PC를 켜기 전, 인터넷 연결 끊기 (랜선 뽑기, 와이파이 끄기)

 

2. PC 전원을 켜고, Windows 방화벽 설정 변경 (파일공유 기능 해제)

 

3. 인터넷 재 연결 후, 보안관련 최신 업데이트 실행

  

 

  Windows 방화벽 설정 방법 (파일공유 기능 해제)

  

SMB를 통한 감염을 예방하기 위한 방화벽 설정 방법입니다.

제가 사용하고 있는 Windows7 기준으로 작성하였습니다.

1. 제어판 - 시스템 및 보안

 

  

2. Windows 방화벽 - 고급 설정

 

3. 인바운드 규칙 - [새 규칙] 클릭

 

 

4. 규칙종류 - [포트] 선택

 

 

5. 프로토콜 - [TCP] 선택 / 특정 로컬 포트 - [22, 23, 3389, 139, 145] 입력

 

6. 작업 - [연결 차단] 선택

 

 

7. 프로필 - [도메인, 개인, 공용] 모두 선택

 

 

8. 식별 가능한 이름 지정 후 [마침]

저는 확인하기 쉽게 랜섬웨어 tcp 포트 차단이란 이름으로 저장했습니다.

 

 

9. [UDP] 포트 [137, 138]도 위의 3~8번 과정대로 차단

 

  

10. 결과 확인

 

올바르게 적용되었다면 아래와 같이 인바운드 규칙 목록에 지정한 두 개의 규칙이 추가됩니다.

 

 

 

  보안 업데이트 관련 참고 사이트

  

[1] 보안 업데이트가 중지되었던 Windows XP, Windows 8 수동 업데이트

[2] Microsoft MS17-010 관련 긴급 보안 공지