랜섬웨어 대응법 : SMB / 워너크라이

랜섬웨어 대응법 : SMB관련 WannaCry(139,445  port 차단)

랜섬웨어 전 세계가 긴장하고 있다. 피해관련 뉴스가 많이 나오는데 사실 매월 둘째주 업데이트되는 보안업데이트를 잘 해두었다면 해당되지않는다.

랜섬웨어는 악성코드를 통해 시스템을 잠그거나 데이터를 암호화 하여 사용할 수 없게 하고 이를 인질로 금전을 요구하는 악성 프로그램이다. 현재 이슈가 되는 랜섬웨어는 '워너크라이(WannaCry)' 로 SMB를 이용한 랜섬웨어이며, 문서파일, 압축파일, DB파일, 가상머신 파일등을 감염시킨다. SMB(Server Mesage Block) 는 파일이나 디렉터리 같은 주변 장치들을 공유하는데 사용하는 메시지 형식인데, 우리나라에서 많이쓰는  Microsoft windows OS(운영체제) 에서 많이 사용하기 때문에 이번 랜섬웨어는 많은 피해가 있을 것으로 예상된다. 

 MS Windows의 SMB 원격코드실행 취약점을 악용한 코드로 2017년3월14일) 패치가 완료되었다. 최신버전에서는 발생하지 않으므로  OS 최신보안 업데이트를 권고한다.아직 안했다면 인터넷을 이용하는 PC에서는  SMB 와 관련된 139,445 포트를 차단하길 권장한다.
※ SMB 관련포트 137(UDP),138(UDP),139(TCP),445(TCP)

Windows 7 의 방화벽을 이용한 포트 차단 방법은 아래와 같다. (TCP 139,445 포트차단)
PC를 키기전 랜선을 뽑고 아래 작업을 진행하기를 권장한다. (이 글을 PC로 인터넷연결하기전 폰으로 봤다면 다행이다)

시작 > 제어판

Windows 방화벽

Windows 방화벽 설정 또는 해제

인바운드 규칙 > 새규칙

포트선택 > 다음 > TCP 선택 > 특정로컬포트 에 139,445 입력

연결차단 선택 > 다음 >  도메인,개인,공용 모두 선택 > 다음 > 규칙이름 작성

인바운드 규칙에 사진과 같이 "작성한 규칙이름" 이 있으면 완료

[긴급] 랜섬웨어 공격 피해 우려 확산...! 행동요령은?

 

2017/05/15 - [IT] - 랜섬웨어 대응방법