WannaCrypt 랜섬웨어는 SMB 취약점을 이용하여 유포 중입니다. 기존 랜섬웨어는 주로 Drive-By-Download 공격이나 토렌트/이메일 첨부파일 형태로 배포되었으나 Windows의 취약점을 이용하여 유포하는 사례는 이번이 처음입니다. 취약한 PC라면 랜선을 접촉하는 것만으로도 감염 위험성이 있어서 지금처럼 대량의 피해가 발생하고 있습니다.
다행히 예방법이 인터넷에 빠르게 공개되어 많은 이용자들께서 시행하고 있습니다. 다만, PC 사용에 미숙하신 분들은 내용이 다소 어렵게 느껴질 수 있습니다.
이런 분들에게 도움을 드리고자 실행만으로 예방조치가 자동적으로 이루어지는 파일을 제작하였습니다.
귀찮아서 안하시던 분들, 잘 모르겠다 하시는 분들에게 도움이 되었으면 좋겠습니다.
자주묻는 질문
1. 월요일만 조심하면 된다?
한국의 업무가 시작되는 날. 즉, PC가 가동되기 시작하는 월요일에 감염이 이루어지기 때문에 월요일을 조심하라는 것입니다.
감염 시도는 요일을 가리지 않고 계속 이루어지고 있습니다.
2. 랜선만 제거하면 된다?
랜선을 제거한 상태라면 랜섬웨어의 감염시도는 방어할 수 있으나, 근본적인 해결책은 되지 못합니다.
영원히 랜선을 뺀 상태로 컴퓨터를 사용하는 것이 아니라면 반드시 예방 절차를 시행해주셔야 합니다.
3. PC를 꺼두면 된다?
PC를 꺼둔 상태에서는 랜섬웨어 감염 시도가 이루어지지 않습니다만, 역시 근본적인 해결책은 되지 못합니다.
PC의 전원이 들어오고, Windows 가 부팅되는 순간부터, 인터넷이 연결되어 있다면 감염위험성이 있습니다.
4. Windows 10은 감염 대상이 아니다?
이번 취약점은 Windows XP 부터 Windows 10에 이르기까지 여러 운영체제가 영향을 받습니다.
따라서 Windows 10 이라고 하더라도 예방 조치를 이행해주셔야 합니다.
5. 중요한 파일이 없으면 그냥 써도 된다?
랜섬웨어에 의해 파일들이 변조될 경우 정상적인 프로그램 구동이 불가능할 수 있으며,
SMB 취약점을 통해서 이번 랜섬웨어 외에도 다양한 악성코드가 침투할 수 있습니다.
따라서 중요한 파일이 없다고 하더라도 반드시 조치해주셔야 합니다.
6. 예방 조치만 하면 된다?
침투 경로가 SMB 취약점으로 한정되어 있어서 예방 조치 후에는 PC를 정상적으로 사용하셔도 됩니다.
7. 이미 감염이 되었는데, 이렇게 하면 치료 되나?
제시된 방법은 SMB 취약점을 통해 들어오는 악성코드를 사전에 차단하기 위한 방법으로서 치료효과가 있는 것은 아닙니다.
8. 스마트폰도 해킹되는 것 아닌가?
WannaCrypt 는 PC를 대상으로 유포되고 있습니다. 스마트폰은 사용하시더라도 안전합니다.
다만, 추후에 변종이 나타날 수도 있으니 반드시 PC에 예방 조치를 해주시기 바랍니다.
9. 예방 조치를 하니 파일 공유가 불가능하다. 해결책은?
방화벽 규칙을 추가하여 특정 포트를 막거나, SMB 기능을 꺼두는 방식은 네트워크 PC간 파일 공유가 더이상 불가능 한 단점이 있습니다.
가정집 PC의 경우라면 문제 없지만, 여러 PC를 공유하는 기업에서는 큰 문제가 일 수 밖에 없습니다.
이 경우, 보안 패치 방식을 통해서 해결하시기 바랍니다.
원클릭 패치 파일(One-Click Patch File)
※ 다운로드 받은 파일은 반드시 "관리자 권한으로 실행" 하셔야 합니다.
※ WIndows 7, Windows 8.1, Windows 10 환경에서 테스트 완료하였습니다.
※ 모든 패치를 다 하실 필요는 없습니다. 하나만 하시면 됩니다.
※ Windows Smart Screen 메세지 발생시 '추가정보' 클릭 -> '실행' 클릭 해주시면 됩니다.
보안 패치
Windows XP SP3 (한글판)
windowsxp-kb4012598-x86-custom-kor_b2a6516e2fd541c75ebb4bcaeb15e91846ac90c5.exe
Windows XP SP3 (영문판)
windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Windows 2003(32비트)
WindowsServer2003-KB4012598-x86-custom-KOR.exe
Windows 2003(64비트)
WindowsServer2003-KB4012598-x64-custom-KOR.exe
Windows Vista(32비트)
windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Vista(64비트)
windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows 7(32비트)
windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7(64비트)
windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows 8(32비트)
Windows8-RT-KB4012598-x86-custom.msu
Windows 8(64비트)
Windows8-RT-KB4012598-x64-custom.msu
Windows 8.1(32비트)
windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 8.1(64비트)
windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows 10(32비트)
windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10(64비트), WIndows Server 2016(64비트)
windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
방화벽을 통한 포트 차단
Windows 7
Windows 2012, Windows 8.1, Windows 10
SMB 기능 끄기
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012
Windows 2012, Windows 8.1, Windows 10, Windows Server 2016
알약 워너크라이(WannaCry) 예방 조치툴
참고 :
https://support.microsoft.com/en-us/help/2696547
https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx
'잡다한 자료 (C:\) > C:\> 보안 칼럼' 카테고리의 다른 글
KB국민은행 피싱사이트 분석. (1) | 2012.05.25 |
---|---|
usp10.dll lpk.dll 삭제, 자신의 PC를 해친다. (12) | 2012.02.10 |
포털 계정이 위험하다! 사이트 홍보에 이용되는 나의 아이디 (0) | 2011.12.30 |
엄청난 개인정보유출, 메이플스토리 유출사건 정리 (0) | 2011.11.26 |
신종 보이스피싱, 이제는 검찰청 피싱사이트 ! (0) | 2011.09.07 |