워너크립터

• WannaCryptor

개요

2017년 2월 처음 발견된 랜섬웨어. 타 랜섬웨어에서 보이지 않는 특징이 2가지 있다. 17년 5월에 '워너크라이(WannaCry)'가 전세계를 휩쓸었다.

특징

• 시한부 : 최초 감염 후 3일 이내 몸값을 지불하지 않으면 몸값이 2배로 오르며, 7일 뒤에는 파일을 복구할 수 없다.(라고 주장한다.)
• 킬 스위치 : 유포 시점에는 존재하지 않는 특정 도메인을 생성하여 웹 서비스를 올려두면 랜섬웨어가 작동을 멈춘다. 대량 유포 초기에 화이트해커에 의해 발견되어 킬 스위치가 작동했으나, 킬 스위치가 먹히지 않는 변종이 나올 우려가 있다.
• 자가 번식 : 과거의 랜섬웨어는 공격자가 보안이 취약한 사이트에 랜섬웨어를 올려두고 희생자가 접속하기를 기다렸지만, 워너크립터는 윈도우의 보안 취약점을 통해 스스로를 배포한다. 과거의 바이러스, 웜과 유사한 방식을 띄면서 랜섬웨어의 파괴력을 가지고 있다.

예방

워너크립터에 쓰인 Samba 서비스(SMB, 파일 및 프린터 공유) 취약점은 윈도우 XP부터 윈도우 10까지 영향을 받는다.^[1] 17년 3월에 마이크로소프트에서 윈도우 비스타 이상 운영체제에 보안패치를 배포하여 무력화된 상태이며, 비스타 이전 버전은 5월 13일에 보안패치가 배포되었다.^[2]

또한 자가 배포 루트를 차단하기 위해 SMB 서비스에 쓰이는 포트를 방화벽에서 막고, SMB 서비스를 종료하도록 권고하고 있다.^[3] 다만 대한민국에서는 대부분의 ISP가 주택 등에 공급하는 일반 인터넷에 Samba 서비스를 허용하지 않기 때문에 랜섬웨어 자가 배포 루트가 봉쇄되어 있어, 일반인이라면 일부러 감염되지 않는 이상 피해를 입지 않는다.

보안패치 제공이 늦은 윈도우 XP, 서버 2003 등을 사용하면서 내부 네트워크를 통해 SMB 파일 공유를 이용한다면 최신 보안패치 적용, SMBv1 서비스 영구 종료 등이 권장된다.

외부 링크

• SMB 취약점으로 전파되는 워너크립터 (WannaCryptor) 랜섬웨어, ASEC Threat Research & Response blog, 2016.05.14.

각주