티스토리 뷰
랜섬웨어(RansomWare) = 몸값(Ransom) + 소프트웨어(Software).
시스템을 잠그거나 데이터를 암호화해서 사용할 수 없도록 만든 뒤 금전을 요구하는 악성 프로그램
워너크라이(WannaCry) 랜섬웨어는 마이크로소프트의 윈도 운영체제의 SMB 취약점을 이용해 전파됨.
취약한 컴퓨터의 경우 부팅 시 감염될 수 있다.
SMB(Server Message Block)는 파일·장치를 공유하기 위해 사용되는 통신 프로토콜.
이번 랜섬웨어 피해를 막기 위해서는
①컴퓨터 부팅전 인터넷을 차단하고(랜선 연결 제거)
②SMB 포트를 차단한 후(프로토콜 비활성화)
③ 인터넷에 연결해 윈도우 보안패치(MS17-010) 및 백신 업데이트 등의 조치 필요
사용 중인 윈도우 운영체제가 윈도우7 이상이고, MS에서 제공하는 Windows 보안패치가 최신으로 업데이트 되어 있다면 SMB를 비활성화하지 않아도 됨.
PC를 켜기 전 네트워크 단절(랜선 뽑기, 와이파이 끄기) 후 아래 실행
SMB 포트 차단 방법
1 제어판
2 Windows 방화벽
3 고급설정
4 인바운드 규칙
5 새 규칙
6 포트
7 다음
8 특정 로컬 포트 : 137-139,445
9 다음
10 연결 차단
11 다음
12 도메인, 개인, 공용 체크
13 다음
14 이름 : SMB 차단
15 마침
워너크라이를 예방하기 위해 차단한 SMB 포트는 ‘파일 공유’를 위한 항목으로, 이를 차단하면 기관이나 기업 등에서 프린터 등 일부 기능이 제한될 수 있기 때문에 윈도우 업데이트까지 무사히 마쳤다면 다시 설정을 통해 차단을 풀어야 한다고 KISA 측은 설명하고 있다. (출처 : http://www.boannews.com/media/view.asp?idx=54743&kind=1)
네트워크 연결 후 윈도우 업데이트 실행
윈도우 업데이트 (Window Update)
1 제어판
2 Windows Update
3 업데이트 설치
윈도우10, 윈10 윈도우즈 업데이트
(참고 : http://blog.naver.com/ookkkki/221006042987)
1 시작
2 설정
3 업데이트 및 복구
4 Windows 업데이트 확인
윈도우 8 이상 파일공유기능 해제 방법(아래 사이트 참조)
랜섬웨어 예방. 파일공유기능해제
세계적으로 랜섬웨어 공격이 확산되고 있습니다. 이번 랜섬웨어는 워너크라이(WannaCry)라고 합니다. 인터넷에 접속만 되어 있어도 감염이 될 수 있으니... 섬뜩합니다. 윈도우를 대상으로 하고 있
nrzb.tistory.com
윈도우 7은 제어판 - 프로그램 및 기능 - windows 기능 사용/사용 안함에서 "SMB 1.0/CIFS 파일 공유 지원"이 보이지 않음.
윈도우 7 파일공유기능 해제 방법
1 시작
2 cmd (명령 프롬프트) 검색
3 cmd 위에서 오른쪽 버튼 클릭
4 관리자 권한으로 실행
5 아래 내용 입력 (주의 : 'depend=', 'start=' 뒤에 한 칸을 꼭 띄어야함)
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
파일공유기능 다시 사용 시에는
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
6 두 명령 모두 '[SC] ChangeServiceConfig 성공'이라는 메시지가 나오면, 윈도우 재시작
보호나라 www.boho.or.kr
한국인터넷진흥원 www.kisa.or.kr
알약 다운로드 http://www.altools.co.kr/Download/ALYac.aspx
+
알약의 Wanna Cryptor 랜섬웨어 이슈 정리 및 긴급조치방안 http://blog.alyac.co.kr/1093
SMB 취약점을 이용한 워너크라이(WannaCry) 랜섬웨어 관련 보안패치 http://rootblog.tistory.com/64
SMB 취약점을 이용한 워너크라이(WannaCry) 랜섬웨어 관련 보안패치
워너크라이(WannaCry) 랜섬웨어 관련 보안패치 정보 요약입니다. 2017년 5월 윈도우의 SMB 원격코드실행 취약점을 악용해서 확산시키는 워너크라이 랜섬웨어가 나왔습니다. 윈도우 보안패치(MS17-01
rootblog.tistory.com
<2017.05.15 네이버 블로그에 작성한 글의 댓글 참고한 추가사항>
- V3나 알약 등의 백신 프로그램을 최신 버전으로 업데이트 하시면 더 좋습니다.
- 윈도우 최신 보안패치가 적용되었다면 smb 공유 해제 안 하셔도 된다고 합니다. 137-139는 넷바이오스 관련 포트가 137, 138, 139라서 다 같이 차단하라는 내용인 듯합니다.
참고 http://jsb000.tistory.com/636
http://m.ruliweb.com/hobby/board/300143/read/33529293
http://levin01.tistory.com/1745
- cmd 치면 나오는 창에 똑같이 쳤는데 '액세스가 거부되었습니다'라고 뜰 때
참고 https://blog.bsk.im/2013/01/15/launch-cmd-privileged/
- 137-139,445 막아도 인터넷 사용할 수 있습니다. 랜섬웨어가 저 포트를 타고 들어오기 때문에 우선 막은 후 윈도우 보안 패치, 백신 프로그램 최신 버전으로 업그레이드 하시면 됩니다.
- 아래 내용 적용한 뒤부터 네트워크로 연결된 외장하드에 접속이 되지 않을 때
5 아래 내용 입력 (주의 : 'depend=', 'start=' 뒤에 한 칸을 꼭 띄어야함)
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
참고 https://support.microsoft.com/ko-kr/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
- 최신 보안패치 업데이트 후 smb 차단으로 인해 필요한 작업을 수행할 수 없다면 풀고 사용하면 됨
- 윈도우 10 참고 http://blog.naver.com/ookkkki/221006042987
- 회사에서 윈도우 7 파일공유기능 해제 방법에 해당하는 것을 했더니 서버 접속이 안될 때
레지스트리 편집기에서 수정하는 방법 http://fcloud.tistory.com/22
공유 관련해서 참고 http://studyforus.tistory.com/82
- SMB 포트 차단 풀기 : 제어판의 방화벽에서 새규칙으로 만드셨다면 그 규칙을 삭제 하든, 설정 변경이 가능하면 연결허용으로 변경
'WEB' 카테고리의 다른 글
| 개발자센터 Developers Center 주소 (0) | 2022.03.16 |
|---|---|
| 무료 호스팅 사이트 닷홈 이용하기 dothome (0) | 2020.06.20 |
| windows server 2016 오류 '이 웹 사이트를 어떻게 열까요?' (1) | 2019.01.20 |
- Total
- Today
- Yesterday