항상 소문이 무성한 건 조용히 건너간다는 믿음이 있는지라 별로 생각지 않고 지냈다. 그러다 내회사컴이 랜섬웨어에 감염되어 차단 등록되어 인터넷이 안되는 상황이 발생했다.
왜차단되었을까? 내가 메일을 잘못봤나, 아님 이상한 사이트에 들어갔나, 이런저런 생각에 잠겨 있고 이류를 전산실에 물어보니 내컴이 xp로 등록되어 일괄적으로 차단 시켰다고 한다. ㅠㅠ
물론 일괄적으로 차단해서 다행이다 생각했지만 이런 일이 있어 랜섬웨어에 많은 공부를 했다.
랜섬웨어는 ransom과 ware의 합성어이며 사용자의 동의없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 암호화 시켜 인질로 잡아 금전을 요구하는 악성 프로그램이다.
2017년 5월 갑자기 등장한 매우 강력한 전염력을 보여주는 Wannacrypt,혹은 워너크라이가 대한민국을 강타하면서 많은 피해를 입었다. 모든 랜섬웨어가 인터넷에 접속만 해도 감염되는건 아니다.
감염되면 CPU와 하드디스크, 메모리의 점유율이 급격히 상승하며 파일을 암호화시킨다.
(파일목록과 RSA공개키를 확보하고 각 파일에 AES키를 생성하여 암호화하는 과정이다.)
다음으로 암호화가 모두 완료되기 전에 재부팅하면 랜섬웨어에 걸렸습니다. 라는 식의 협박 텍스트 파일과 복호화 파일을 전달한 HTML페이지가 자동으로 팝업된다. 그리고 대부분의 작업을 할수 없다.
당연한 사실이지만 연결된 이동식 저장매체 또한 감염된다. 외장하드나, USB메모리 등등.
몇몇은 해결이 가능한 것도 있다. 아마 인터넷을 돌아보면 나오긴 하나 거의가 확인된것만 가능해서 나 같으면 그냥 포맷을 권장한다. ㅜㅜ
예방방법은 https://www.krcert.or.kr/ransomware/prevention.do
이번에 퍼진 랜섬웨어는 Microsoft SMB취약점을 이용하였다. 그래서 대부분의 예방법은 SMB포트를 차단하는 방법이다.(windows 7이상, 현재는 windows10으로 설명하였습니다.)
1. 네트워크 방화벽 또는 운영체제 방화벽으로 SMB에 사용되는 포트 차단
[제어판] --> [시스템 및 보안] --> [windows 방화벽]-->[고급설정]-->[인바운스규칙]-->[새규칙]-->포트 --> "TCP,"특정원격포트" 선택-->"139,445" 입력(UDP는 137,138 입력)-->"연결차단" 선택-->"도메인, 개인, 공용" 선택--> 이름입력
2.SMB 기능 해제
[제어판] -->[프로그램]-->[Windows 기능 켜기/끄기]-->"SMB1.0/CIFS파일 공유지원" 체크 해제--> 시스템 재시작"
둘중에 하나만 해도 예방은 된다고 한다.그러나 언제 변종이 나타날지 모르기때문에 항상 조심하는게 좋을거같다.
