워너크립터 편집하기

[[파일:wannacry-cj.jpg|thumb|[[CGV]] 광고매체가 감염된 모습]]
'''워너크립터'''(WannaCryptor)는 2017년 2월 처음 발견된 [[랜섬웨어]]다. 타 랜섬웨어에서 보이지 않는 특징이 두 가지 있다. 2017년 5월에 '워너크라이(WannaCry) 사태'가 전세계를 휩쓸었다.

==개요==
Microsoft Windows를 사용하는 컴퓨터를 대상으로 하는 랜섬웨어. Wannacrypt라고도 불린다. 2017년 5월 12일에 대규모 공격이 시작되어 전세계적으로 많은 컴퓨터에서 심각한 피해가 발생하였다. 감염되면 컴퓨터 내의 파일들이 암호화되어 버리며, 파일 몸값으로 비트코인 $300[1]를 요구하는 메시지 창이 화면에 뜬다.

이름의 유래도 꽤나 악랄하기 그지없는데, 우선 뒤의 Cry는 Crypt를 줄인 것도 있지만 울다는 뜻까지 포함한 중의적인 표현인 듯하며(Do You Wanna Cry?), 한번 걸리면 말 그대로 울고싶어라 노래를 부르게 만드는 작명이다. 이 랜섬웨어의 파일명이 Wana Decrypt0r (Wana Deryptor)인데 Wanna의 오타인 Wana라고 되어 있다. 한국에서는 워너크립터라고 읽기도 하지만 워나크라이라고 읽기도 한다.


==배경==
===만든 조직/어떤 계기를 통해 유포되는지===
워너크라이 랜섬웨어는 2017년 4월 14일 더 섀도 브로커스라는 해커 그룹이 공개한 이터널블루라는 마이크로소프트 윈도우의 파일 공유에 사용되는 서버 메시지 블록(SMB) 원격코드의 취약점을 악용한 것으로, 이메일 첨부파일을 통해 유포되는 일반적인 랜섬웨어와 달리 인터넷 네트워크에 접속만 해도 감염된다. 워너크라이는 문서 파일, 압축 파일, 데이터베이스 파일, 가상머신 파일 등 다양한 파일을 암호화하며, 한국어를 비롯한 28개의 다국적 언어를 지원한다. 또한 암호화된 파일을 푸는 대가로 300∼600달러의 비트코인을 요구하는 메시지를 띄운다. 이 랜섬웨어의 감염은 2017년 3월 14일 마이크로소프트에서 배포했던 MS17-010 취약점의 패치를 통해 예방 가능하다.

PC가 워너크라이에 감염되면 'Wana Decrypt0r 2.0'이라는 이름의 창이 뜬다. 감염창에는 상황 설명, 복구 방법, 금전 지급 방법, 비트코인을 보내는 주소가 함께 표시되며, 지불 기한과 파일을 잃게 되는 기한도 함께 표시된다.[17] 감염된 파일명에는 '.WNCRY'가 붙어, '파일명.jpg.WNCRY'와 같은 식으로 파일명을 변경해 암호화한다.[17] 만약 보안 프로그램이 워너크라이 랜섬웨어를 지우게 되면 배경화면이 검은색 창으로 바뀌며, 워너크라이를 다시 가동하라는 경고문이 뜨게 된다.[17]

본 랜섬웨어는 특히 Windows XP 와 7 버전이 취약점을 가지고 있다고 알려져 있으며 상위 버전은 평소에 윈도우즈 업데이트와 백신의 업데이트 등으로 예방할 수 있다고 한다.

=== 특징 ===
* 시한부 : 최초 감염 후 3일 이내 몸값을 지불하지 않으면 몸값이 2배로 오르며, 7일 뒤에는 파일을 복구할 수 없다.(라고 주장한다.)
* [[킬 스위치]] : 유포 시점에는 존재하지 않는 특정 도메인을 생성하여 웹 서비스를 올려두면 랜섬웨어가 작동을 멈춘다. 대량 유포 초기에 화이트해커에 의해 발견되어 킬 스위치가 작동했으나, 킬 스위치가 먹히지 않는 변종이 나왔다.
* 자가 번식 : 과거의 랜섬웨어는 공격자가 보안이 취약한 사이트에 랜섬웨어를 올려두고 희생자가 접속하기를 기다렸지만, 워너크립터는 윈도우의 보안 취약점을 통해 스스로를 배포한다. 과거의 [[컴퓨터 바이러스]], [[웜 (악성 코드)|웜]]과 유사한 방식을 띠면서 랜섬웨어의 파괴력을 가지고 있다.


== 피해 및 복구 ==
보안에 신경쓰지 않는 사람들과 업데이트 주기가 느릴 수밖에 없는 [[임베디드]] 기기들이 큰 피해를 입어, 150개국 20만 대 장비가 감염된 것으로 추산되고 있다.<ref>[http://www.etnews.com/20170515000429 악성 프로그램 '랜섬웨어' 감염 주의보], 전자신문, 2017.05.15.</ref> 대표적으로 영국에서 XP 연장 지원을 받고 있는 국가건강서비스(NHS) 네트워크가 공격받아 의료 서비스가 마비되었으며, 그외 많은 국가에서 내부 네트워크가 공격받아 업무가 중단되는 사태가 벌어지고 있다. 특히 임베디드 기기 중 대중에 노출되는 광고판 컴퓨터 등이 감염되면서 공포가 확산되고 있다.

한국에서는 ISP 특유의 포트 차단으로 인해 맹위를 떨치진 못하고 있으나, 감염 경로인 SMB를 사용할 수밖에 없는 기업 네트워크를 중심으로 번지고 있다. 주말이었던 12일~14일 간 5개 기업이 피해를 입었으며, 본격적으로 업무가 가동되는 월요일(15일)이 되자 3개 기업이 추가로 피해를 보고했다.<ref>[http://www.dailysecu.com/?mod=news&act=articleView&idxno=20202 워너크라이 랜섬웨어 공습, 현재 8개기업 감염 확인…KISA로 문의 폭주], 데일리시큐, 2017.05.15.</ref>

피해입은 유저들을 위해 개발자들이 노력중이며, 복호화가 가능한 툴이 등장했다. 이들은 메모리에서 랜섬웨어가 쓰고 반환했으나 아직 다른 곳에 쓰이지 않은 공간에 복호화키가 남는다는 헛점을 공략해 랜섬웨어를 해독하는 툴이다. [[Windows XP]], [[Windows 7|7]] 등 최신 [[운영체제]]에 비해 보안이 허술한 운영체제에서 랜섬웨어 최초 감염 후 재부팅, 다른 프로그램 실행 등 메모리가 초기화되거나 덮어씌워지는 작업을 안 한 상태에서 툴을 실행시켜야 해 상당히 까다로운 조건을 가지고 있다.
* XP용 복호화 툴 : aguinet, [https://github.com/aguinet/wannakey Wannacry in-memory key recovery for WinXP]
* 7용 복호화 툴 : gentilkiwi, [https://github.com/gentilkiwi/wanakiwi/releases wanakiwi]

== 예방 ==
워너크립터에 쓰인 Samba 서비스(SMB, 파일 및 프린터 공유) 취약점은 윈도우 XP부터 윈도우 10(~레드스톤)까지 영향을 받는다.<ref>[https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral Customer Guidance for WannaCrypt attacks], 마이크로소프트 테크넷, 2017.05.12.</ref> 17년 3월에 마이크로소프트에서 윈도우 비스타 이상 운영체제에 보안패치를 배포하여 무력화된 상태이며, 비스타 이전 버전은 5월 13일에 보안패치가 배포되었다.<ref>[https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx Microsoft 보안 공지 MS17-010 - 긴급], Security TechCenter</ref>

또한 자가 배포 루트를 차단하기 위해 SMB 서비스에 쓰이는 포트를 방화벽에서 막고, SMB 서비스를 종료하도록 권고하고 있다.<ref>[http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723 SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령], 한국인터넷진흥원, 2017.05.14.</ref> 다만 대한민국에서는 대부분의 ISP가 주택 등에 공급하는 일반 인터넷에 Samba 서비스를 허용하지 않기 때문에 랜섬웨어 자가 배포 루트가 봉쇄되어 있어, 일반인이라면 일부러 감염되지 않는 이상 피해를 입지 않는다.

보안패치 제공이 늦은 Windows XP, 서버 2003 등을 사용하면서 내부 네트워크를 통해 SMB 파일 공유를 이용한다면 최신 보안패치 적용, SMBv1(또는 파일/프린터 공유) 서비스 영구 종료 등이 권장된다.

== 외부 링크 ==
* [http://asec.ahnlab.com/1067 SMB 취약점으로 전파되는 워너크립터 (WannaCryptor) 랜섬웨어], ASEC Threat Research & Response blog, 2016.05.14.

{{각주}}
[[분류:악성 코드]]