저번 주말에 신종 랜섬웨어(RansomWare)인 워너크라이(WannaCry) 바이러스가 네트워크상으로 퍼져서 세계적으로 퍼져서 세계 공공기관이나 기업들이 피해를 보는 일도 생기고 있습니다.

    국내에서는 이 워너크라이 랜섬웨어에 감염된 곳중 1곳인 CGV에서는 랜섬웨어 감염으로 인하여 광고 없이 영화상영되는 일도 있었습니다.

    // 신종 랜섬웨어 '워너크라이'를 예방하기 위한 방법을 알려드리기 이전에, 랜섬웨어가 뭔지 궁금하신 분들을 위해 간단하게 아래 설명드립니다.


    [랜섬웨어가 뭐길래?]


    랜섬웨어는 데이터 인질극으로도 불리는데요, 피해 PC가 감염되면, 해당 PC 내의 모든 드라이브의 문서/사진등의 자료가 *.wncry등 알 수 없는 확장자로 변경됩니다. 간단하게 알려드리면 SAM_1.JPG 사진파일이 있다면, SAM_1.jpg.wncry 파일로 변경되어 파일을 열수가 없게 됩니다. 사진 RAW파일도 예외가 없다고 합니다. ppt부터 hwp, pdf 모두 암호화 대상이 됩니다.


    [풀 수 있는 방법은?]


    암호화된 파일을 풀 수 있는 방법은 복호화툴로 복구 시키는 방법이 있는데, 이는 복구할 수 있는 게 제한적이고, 그렇다고 해커에게 비트코인을 지불하여 복구해달라고 하더라도, 안해주는 경우가 있어서 실상 완벽하게 복구하기란 쉽지 않습니다. 국내 사설업체에 부탁해도, 비싼 금액을 요구하고, 복구하기가 어렵습니다.


    [그러면 어떻게 해야 되나?]


    최선의 방법은 예방 밖에 없다고 할 수 있습니다. 예방하고, 중요한 자료는 백업! 필수입니다.


    먼저 예방 방법을 알려드리겠습니다.


    (위의 사진은, https://www.krcert.or.kr/ransomware/prevention.do - 출처)


    위의 사진은 제가 위에서 설명드렸던 맥락과 같습니다.


    이번에 신종 랜섬웨어인 워너크라이 예방법! 먼저 방화벽 포트차단입니다!

    1. 제어판 - Windows 방화벽에 들어갑니다.

    2. windows 방화벽에 접속하였다면 고급 설정으로 들어갑니다.

    3. 인바운드 규칙을 클릭하고 새 규칙...을 누릅니다.

    포트를 선택하고 다음!

    TCP를 선택하고, 특정 로컬 포트를 선택하여 옆에 139, 445를 입력하고 다음!

    연결 차단을 선택하고 다음을 누릅니다.


    도메인, 개인, 공용 3개 모두 선택하고 다음을 누르고, 이름에는 SMB 차단으로 입력하고 마침을 누릅니다!



    그리고 위와 같은 방법으로 새규칙을 만들어서 UDP 포트를 선택하고 137, 138 포트도 차단시켜 줍니다.

    -

    두번째!! SMB 파일 공유 지원 기능 끄기!

    Windows 기능 켜기/끄기에 들어가서 SMB 1.0 체크를 해제시켜 줍니다. 

    그러면 재부팅창이 뜨는데 재부팅하여 접속하고, Windows 업데이트를 최신으로 유지시켜주면 됩니다.


    위의 방법대로 따라 하셨다면, 신종 랜섬웨어 WannaCry의 윈도우 취약점을 이용한 공격을 막을 수 있습니다.

    가만히 냅두다가 피해입지 마시고, 꼭! 예방하시기 바랍니다.


    잘 보셨다면 댓글 부탁드립니다!!


    Posted by 핀슬