랜섬웨어와 크라이워너 예방하기

랜섬웨어와 크라이워너 시초

랜섬웨어의 초기 형태는 1986년에 등장한 트로이잔에서 시작되어 현재의 복합적인 암호로 형성된 랜섬웨어로 변종되어 왔다. 

웜 확산으로 전산 마비가 된 이후 같은 형태의 피해를 막기위해 애플, Ms, intel 등 세계 유명 기업들과 각국의 국가기관 등이 후원하고  네덜란드 경찰과 유럽연합 경찰기구 유로폴, 민간 보안업체 인텔 시큐리티와 아바스트 등으로 결성된  국제조직 노모어 랜섬 팀의 등장으로 40개가 넘는 변종 랜섬웨어를 예방하는 백신을 배포하고 있다. 대한민국은 경찰청과 협약을 맺고 있다.

현재 기승을 부리고 있는 워너크라이는 기존의 랜섬웨어와 달리 웜과 비슷한 성향을 가진것으로 인터넷이 연결만 되면 네트워크에 상주하여 스스로 복제를 하는 동시에 배포하기 때문에 쉽게 확산된다.

 특히 Microsoft사의 운영체제인 Windows xp SP3는 이미 업데이트를 중단한 버전이다. 글로벌 기업인 Microsoft사에서 이번 랜섬웨어 확산과 피해를 막기위해 특별 업데이트를 긴급 발표하면서 단종된 운영체제 사용자도 지원받게 되었다.

 벌써 단종된 운영체제를 두번이나 특별 업데이트를 강행한 Microsoft 글로벌 기업으로 역할을 제대로 하고있다. 물론 빠른 조치를 했다면 더 좋았겠지만 인도적으로 업데이트 지원건으로 아쉬움을 달래기엔 충분할 것 같다. 

예방하기

컴퓨터 본체에 연결된 랜선을 뽑고 컴퓨터를 부팅한다. 제어판에서 프로그램 기능을 클릭하면 윈도우 기능 켜기/끄기 나온다. 아래 사진을 보면 smb/CIFS 파일 공유 지원을 해제합니다.

랜섬웨어 예방

이제 Microsoft에서 긴급 업데이트 버전을 운영체제에 탑재해야합니다. 미세하지만 랜섬웨어가 침투 전에 접속하기 위해 즐겨찾기를 하던 북마크를 한다. 아래는 비스타에서 윈도우7, 윈도우 10, 윈도우 서버8등을 지원한다.

업데이트

Xp의 경우 랜선을 뽑고 네트워크 및 윈도우 방화벽에서 랜섬웨어 침투 포트를 차단한다. 다른 버전 운영체제 사용자도 도전해도 상관없다.아래는 단종된 제품들을 위한 버전이다.

XP업데이트

이렇게 즐겨찾기와 북마크를 하던지 접속해두고 랜선을 다시 연결하여 새로고침을 눌러 접속하여 업데이트를 하면된다.네트워크 및 윈도우 방화벽에서 포트도 차단 할 수 있다. 

UDP 137,138 이고 TCP 139, 445 차단한다. 

프로토콜을 차단해보자.

Powershell →  우클릭  →  관리자 권한으로 실행

 set-ItemProperty   – Path“ HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters” SMB1 –Type  

DWORD –Value 0 –Force

 set-ItemProperty   – Path“ HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters” SMB2 –Type DWORD –Value 0 –Force

이렇게하면 프로토콜 활성화 해제된다.

랜섬웨어는 확산원인

 메일을 통해 받은 첨부된 이미지 및 문서등의 파일을 실행하거나 특정 사이트에 감염코드가 심어져 있어 사용자도 모르게 감염된다. A라는 시스템이 있다고 가정해보자. 일단 시스템까지 잠입에 성공했다고 공격을 바로 하는 것이 아니라 시스템을 완전히 장악하고 파일 잠금작업을 완전히 마친 후 진행된다.

 바이러스와 달리 암호화 되어있는데 이는 프로그램을 보호하여 회사나 제작자의 지적 자원 및 재산을 보호하기 위한 찬사를 받는 기술이며 수 많은 프로그램이 사용되어 원천적으로 해결할 방법이 없다. 암호화 기술을 초기에는 대칭 알고리즘으로 암호기와 복호화 키가 동일했지만 암호화 기술이 더욱 발전하여 비대칭 알고리즘을 탑재하게 된다. 

공격 제어는 서버통해 받게되고 72시간 안에 공격자 원하는 것을 보내야만 잠금이 해제된다. 제한된 시간이 지나면 잠금을 풀 수 없게되어 기업이나 국가기관의 경우 전산마비가 되어 엄청난 피해를 입게된다. 

랜섬웨어 감지가 되는 백신을 사용하고 운영체제 보안 업데이트를 꼭 해주어야 합니다. 중요 데이터는 무조건 백업해두는 것이 가장 중요합니다.  미확인 발신 메일은 호기심을 유발하더라도 절대 열지 않고 삭제한다. 아래는 랜섬웨어를 방어하기 위한 국제조직인 노모어 랜섬이다. 

노모어랜섬 사이트

노모어 랜섬은 무료로 랜섬웨어를 해제하기 위한 프로그램과 백신을 배포하고 있다. 물론 100% 해제 할 수는 없지만 해제 되는 랜섬웨어를 확인도 할 수 있고 안되더라도 랜섬웨어를 제보하여 2차 3차적으로 확산을 막기위해 공유 할 수 있다. 

노모아 랜섬에서는 공격자들에게 원하는 것을 지불해서는 안된다고 합니다. 금전이든 비트코인이든 그것으로 암호 해제 복호화키를 받을 가능도 낮다고한다. 피해자에게 받은 것으로 공격자는 자신이 배포한 랜섬웨어 작동유무를 확인하게 되고 변종에 변종이 개발되어 피해는 더 확산된다. 

특히 이득을 취한것으로 팀단위가 그룹 단위로 결성되어 장기적으로 더욱 확산된다. 절대로 해커가 원하는데로 해주지 않는 것이 가장 중요하며 공겯받은 정보를 공유해야 한다.

당신의 스마트폰은 안전한가요

랜섬웨어들도 진화된 변종이 개발되어 여러 형태로 공격되고 있다. 암호화 랜섬웨어는 파일이나 사진을 암호화하여 사용자에게 금전을 요구한다.  화면잠금 랜섬웨어는 화면을 잠그고 사용을 못하게 합니다. 이미지를 모두 실행시키고 사용자는 아무런 조작도 못합니다.

마스터 부트 레코드 랜섬웨어

운영체제를 설치를 몇번 해봤다면 이름만 들어도 대충 알것이다. MBR은 윈도우를 부팅 할때 필요한 것으로 이 정보를 변경하여 사용자에게 금전을 요구한다. 이 랜섬웨어는 이미 백신이 있고 mbr형태로 말고 gpt방식으로 파티션을 나눌시 한단계 더 높은 프로텍트가 형성되어 미약하게 더 안전하지만 mbr사용자에 비해 덜 위험 할 뿐이다. 

웹서버 암호화 랜섬웨어는 취약한 웹서버를 대상으로 침투하여 저장파일을 임호화 해버린다. 안드로이드 스마트폰 기기 랜섬웨어는 드라이브 별로 감염되며 보통 가짜 프로그램을 통해서 감염된다. 출처가 불명확한 어플이나 프로그램을 설치하는 것은 자제한다.

 이번 랜섬웨어 사태로 보안에 대한 경각심도 높아지고 국제적으로 전문가 양성에 더욱 힘쓸것으로 본다. 4차 산업혁명이 진행되는 시점에 보안이라는 국제적으로 숙제가 남은듯 하다.

공유기 중에 nas 기능이 있어 자체적으로 막아주는 공유기도 있다. 기존 공유기 사용자도 있을 수 있으니 유명 공유기 사용자라면 홈페이지에 접속하여 공유기 기능을 찾아보면 된다.   공유기 사용자는 공유기 관리자 설정 페이지에 접속하여 위에 설명한 UTP 포트 137,138 TCP 139, 445를 차단해야 한다. 

저는 iptime 공유기를 사용하므로 제 공유기 기준으로 설명합니다.

 아이피 타임 관리자로 접속하기 위해 192.168.0.1 에 접속하고 아이디와 비밀번호를 입력한다. 초기에 변경을 안했거나 잃어 버렸다면 초기화 누르고 진행해야 한다. 그러면 아이디와 비밀번호가 admin으로 초기화된다.  설정화면에서 보안기능을 클릭 한다.

인터넷/WiFi 메뉴에 접속한다. 인터넷 사용제한을 선택하고 이름은 UTP 137차단이라고 입력한다. 

[내부-외부] 포트는 UTP 선택하고 포트번호는 137-137설정한다. 

모든 내부 아이피에서 모든 외부아이피를 차단을 설정한다. 

요일별 시간대로 설정 할 수 있지만 24시간 풀 감시모드로 한다. 

포트 설정을 잘해야 한다. UTP(137,138)와 TCP(139,445)를 잘 설정하고 포트 번호도 잘 설정하고 저장한다.  공유기 설정하실 분들은 참고하세요