워너크립터

개요

2017년 2월 처음 발견된 랜섬웨어. 타 랜섬웨어에서 보이지 않는 특징이 2가지 있다. 17년 5월 변종 '워너크라이'가 전세계를 휩쓸었다.

특징

킬 스위치 : 유포 시점에는 존재하지 않는 특정 도메인을 생성하여 웹 서비스를 올려두면 랜섬웨어가 작동을 멈춘다. 유포 초기에 화이트해커에 의해 발견되어 킬 스위치가 작동했으나, 킬 스위치가 먹히지 않는 변종이 나와 골머리를 썩히고 있다.
자가 번식 : 과거의 랜섬웨어는 공격자가 보안이 취약한 사이트에 랜섬웨어를 올려두고 희생자가 접속하기를 기다렸지만, 워너크립터는 윈도우의 보안 취약점을 통해 스스로를 배포한다. 과거의 바이러스, 웜과 유사한 방식을 띄면서 랜섬웨어의 파괴력을 가지고 있다.

예방

워너크립터에 쓰인 Samba 서비스(SMB, 파일 및 프린터 공유) 취약점은 윈도우 XP부터 윈도우 10까지 영향을 받는다. 17년 2월에 마이크로소프트에서 윈도우 비스타 이상 운영체제에 보안패치를 배포하여 무력화된 상태이며, 비스타 이전 버전은 5월 13일 보안패치가 배포되었다.^[1]

또한 자가 배포 루트를 차단하기 위해 SMB 서비스에 쓰이는 포트를 방화벽에서 막고, SMB 서비스를 종료하도록 권고하고 있다.^[2] 다만 대한민국에서는 대부분의 ISP가 일반 고객용 인터넷에 Samba 서비스를 허용하지 않기 때문에 랜섬웨어 자가 배포 루트가 봉쇄되어 있다는 것이 특징으로, 일반인이라면 일부러 감염되지 않는 이상 피해를 입지 않는다. 기업 등 내부 네트워크를 통해 SMB 파일 공유를 이용한다면 최신 보안패치, SMB 일시 종료 등이 권장된다.

외부 링크

SMB 취약점으로 전파되는 워너크립터 (WannaCryptor) 랜섬웨어, ASEC Threat Research & Response blog, 2016.05.14.

각주

↑ 다음에 대한 검색 결과 "KB4012598", Microsoft®Update 카탈로그
↑ SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령, 한국인터넷진흥원, 2017.05.14.

[1] 다음에 대한 검색 결과 "KB4012598", Microsoft®Update 카탈로그

[2] SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령, 한국인터넷진흥원, 2017.05.14.

[1]

[2]