워너크라이(WannaCry) 랜섬웨어 차단 동영상 및 예방법 안내

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.05.16 10:52 / 카테고리 : 랜섬웨어 예방 솔루션



최근에 가장 큰 이슈라고 하면 바로 랜섬웨어입니다. 사상 유래없는 랜섬웨어 감염사태로 인해 많은 기업과 기관을 피해를 입었습니다. 다행히 국내에서는 업무를 진행하지 않는 휴일에 퍼지기 시작한데다가 정부와 관련 기관의 발빠른 대처로 인해서 대부분의 조치사항을 완료한 이후에 업무를 시작하였기 때문에 피해가 예상보다 적었습니다.



하지만 워너크라이 랜섬웨어는 굉장히 위협적인 랜섬웨어로 현재 감염된 파일은 복구 방법이 없습니다. 감염된 파일은 비트코인을 지불하여도 해커는 파일을 복구해주지 않습니다. 이번 워너크라이 사태에서 해커가 돈을 받고 복구해준 사례는 단 1건도 없는 것으로 나타났습니다.


앱체크 안티랜섬웨어(AppCheck Anti-Ransomware) 제품에서는 별도의 업데이트없이 WannaCry 랜섬웨어(Ransomware)를 방어할 수 있습니다. 앱체크가 랜섬웨어 워너크라이를 방어하고 차단하는 동영상은 아래를 참고해주시기 바랍니다.




  • 배포 방식 : ETERNALBLUE 취약점으로 SMBv1 프로토콜을 통한 원격 접속 및 감염 ​​​​​​​
  • MD5 : 84c82835a5d21bbcf75a61706d8ab549
  • 주요 탐지명 : Trojan.Ransom.WannaCryptor.A (BitDefender), Ransom:Win32/WannaCrypt (Microsoft)
  • 파일 암호화 패턴 : .WNCRYT → .WNCRY
  • 주요 특징 : - 오프라인 암호화 - 한국어(Korean)를 포함한 28개 언어로 결제 안내 메시지 생성 - 바탕 화면 배경(C:\Users\%UserName%\Desktop\@WanaDecryptor@.bmp) 변경


동영상 내용과 같이 다른 별도의 조치 없이,체크만 설치하여도 예방이 가능합니다. 별도로 더 안전한 조치를 위해서는 아래에 랜섬웨어 예방 백신인 앱체크(AppCheck) 개발사가 공개한 랜섬웨어 워너크라이(WannaCry) 증상을 참조하시기 바랍니다.


[공지] SMB 취약점을 이용한 WannaCryptor 랜섬웨어(.WNCRY) 유포 주의

출처 - 앱체크 개발사 체크멀(Checkmal) 홈페이지

KISA에서 배포한 "SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법" 자료를 다음 링크에서 확인하실 수 있습니다.


2017년 5월 12일 전후로 전 세계를 대상으로 매우 짧은 시간 내에 역대 최고 수준의 WannaCry / WannaCryptor / WCry 랜섬웨어(Ransomware)를 이용한 파일 암호화 공격이 이루어지고 있기에 매우 주의가 요구됩니다. 


특히 유포 방식이 2017년 3월 Microsoft 정기 보안 업데이트를 통해 MS17-010 보안 패치가 이루어진 ETERNALBLUE 취약점을 통해 Worm 방식으로 전파되고 있으므로 보안 패치가 이루어지지 않은 환경에서는 피해가 예상됩니다. 


해당 보안 취약점은 미국 NSA에서 운영한 취약점으로 Shadow Brokers 해킹 그룹에 의해 공개되었으며 Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016 운영 체제 환경에서 MS17-010 보안 패치가 이루어지지 않은 경우 특수하게 조작된 메시지를 Windows SMBv1 서버에 보내서 원격 코드 실행이 가능한 Windows SMB 원격 코드 실행 취약점(CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148)입니다.



코드 실행이 이루어진 경우 문서, 사진, 영상, 음악, 압축 파일 등의 개인 데이터 파일을 .WNCRYT 확장명 형태로 암호화한 후 .WNCRY 확장명으로 최종 변경합니다. 


파일 암호화 과정에서 taskdl.exe 파일(SHA-1 : 47a9ad4125b6bd7c55e4e7da251e23f089407b8f)을 통해 다음과 같은 프로세스가 실행 중인 경우 자동 종료 처리하여 관련 데이터가 암호화될 수 있도록 처리합니다. 

  • taskkill.exe /f /im mysqld.exe 
  • taskkill.exe /f /im sqlwriter.exe 
  • taskkill.exe /f /im sqlserver.exe 
  • taskkill.exe /f /im MSExchange* 
  • taskkill.exe /f /im Microsoft.Exchange.* 


또한 모든 폴더 및 파일에 대한 접근 권한 획득 목적으로 "icacls . /grant Everyone:F /T /C /Q" 명령어를 실행합니다.



WannaCryptor 랜섬웨어는 파일 암호화 과정에서는 암호화 대상 원본 파일을 그대로 유지하며 암호화가 완료되는 시점에서 원본 파일을 자동 삭제하여 복구할 수 없도록 하며, 암호화 과정에서 임시 생성된 .WNCRYT 파일은 임시 폴더(%Temp%)로 <숫자>.WNCRYT 형태로 이동한 후 자동 삭제 처리합니다.



파일 암호화 완료 후 사용자에 의한 시스템 복원 및 복구 옵션 기능을 이용할 수 없도록 다음과 같은 명령어를 통해 VSS(볼륨 섀도 복사본 서비스) 및 부팅 복구 옵션을 삭제합니다.


  • vssadmin delete shadows /all /quiet
  • wmic shadowcopy delete
  • bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • bcdedit /set {default} recoveryenabled no
  • wbadmin delete catalog -quiet


이후 "Wana Decrypt0r 2.0" 랜섬웨어 메시지 창을 통한 Tor 통신 목적으로 https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip 파일을 다운로드하여 "C:\Users\%UserName%\AppData\Roaming\tor" 폴더에 파일을 압축 해제하여 "\\TaskData\Tor" 폴더에 관련 파일을 생성합니다.



최종적으로 생성된 "Wana Decrypt0r 2.0" 메시지 창은 사용자 운영 체제 언어에 따라 28개 언어로 표시되며, 일정 시간 내에 비트코인(Bitcoin)을 지불하도록 안내하고 있습니다.



그 외에도 @Please_Read_Me@.txt 랜섬웨어 결제 안내 파일 생성을 통해 지불 방법을 안내하고 있으며, 바탕 화면 배경을 @WanaDecryptor@.bmp 이미지 파일로 변경합니다.




이와 같이 랜섬웨어는 사후조치가 아닌 사전예방이 중요합니다. 랜섬웨어는 기업에게 돈을 받아낼 목적으로 기업의 주요 파일과 기밀정보를 암호화시켜 업무와 중요자산을 마비시키고 데이터를 인질삼아 돈을 받아내는 악질적인 공격 행위 입니다. 또한, 변조가 심하기 때문에 기존의 시그니처 기반(기존 랜섬웨어 데이터와 비교하여 판단) 방식은 예방에 많은 도움을 주지 못합니다. 


워너크라이와 같은 신종 랜섬웨어를 예방하기 위해서는 차세대 엔드포인트 안티 랜섬웨어 솔루션인 앱체크(AppCheck)를 설치하여야 합니다. 앱체크는 상황 인식 기반의 랜섬웨어 행위 탐지 엔진을 도입하였기 때문에 기존 랜섬웨어의 데이터베이스 없이도 랜섬웨어를 탐지가능하고, 신종과 변종 랜섬웨어까지 잡아낼 수 있습니다.


1. 상황 인식 기반 랜섬웨어 탐지 엔진은 사용자가 원하지 않는 파일의 변화를 탐지하여 방어합니다.

2. 매모리 맵핑 방식, 하드 링크 방식 등의 알려지지 않는 제로데이(Zero-Day) 랜섬웨어의 파일 파괴 행위를 탐지하고 차단합니다.

3. 자동의 훼손된 파일을 복구하고 랜섬웨어가 생성한 파일을 삭제하여 업무의 연속성을 유지할 수 있습니다. 


또한, 자동으로 중요한 정보의 자산을 보호할 수 있는 자동 파일 백업 기능인 랜섬가드 기능을 가지고 있습니다. 랜섬웨어로 파일 훼손시 원본 파일을 별도로 보관합니다.


1. 랜섬가드는 훼손되는 원본 파일만 별도로 보관하기 때문에 디스크 공간의 효율성을 높여줍니다.

2. 통합된 백업 스케쥴링을 통해 추가적인 보호막을 구성하여 랜섬웨어 탐지에 실패하더라도 복구할 수 있는 안전한 대한을 제공합니다.

3. 네트워크 공유 파일에 대해서 의도하지 않은 원격지로부터의 파일의 훼손을 차단하고 원상복구 합니다.


앱체크(Appcheck)는 개인과 비상업적인 용도는 무료이며, 기업과 기관, 영리단체는 반드시 유료버전인 앱체크 프로(AppCheck Pro) 버전을 구매하셔야 합니다.




아이마켓코리아에서는 앱체크 프로버전을 정가보다 더 저렴하게 구매하실 수 있는 기업 고객 특가 프로모션을 진행 중입니다. 대량 구매 및 장기 구매시 더 저렴한 가격으로 구입이 가능합니다. 자세한 가격은 아래의 아이마켓코리아 담당자에게 연락 주시면 견적을 전달해드리겠습니다. 


앱체크 프로 기업 버전 구매 상담 전화

02 - 3708 - 8254



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/07   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

방문자 통계

  • 전체 : 354,144
  • 오늘 : 0
  • 어제 : 87
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.