랜섬웨어 워너크라이(WannaCry) 확인/예방/복구 방법

2017.05.16 00:46

"랜섬웨어 워너크라이(WannaCry) 확인/예방/복구 방법"


워너크라이(WannaCry)/워너크립터(WannaCryptor) 는 윈도우의 SMB 시스템 취약점을 공격하는 램섬웨어로 전세계적인 문제를 일으키고 있습니다.

랜섬웨어 감염 증상 확인방법과 예방방법, 복구방법을 알아 보겠습니다.



워너크라이(WannaCry)는 윈도우의 공유파일을 통해 전염되기 때문에 네트웍에만 연결되어 있어도 감염될 위험이 있습니다.


워너크라이 랜섬웨어 감염 증상은?


일단 워너크라이(WannaCry)에 감염이 되면 PC의 바탕화면이 바뀌고 파일들의 확장자 뒤로 (.WNCRY) 라는 확장자가 붙으며 암호화되어 열리지 않습니다.

또한 @Pleas_Read_Me@.txt 라는 텍스트 파일이 생깁니다.



이 @Pleas_Read_Me@.txt 파일은 현재 PC가 워너크라이(WannaCry) 랜섬웨어에 감염됐음을 안내해주는 텍스트 파일입니다. @WanaDecryptor@.exe 라는 파일도 생성되는데, 이 프로그램을 통해서 해커들에게 돈을 보내고 복구키를 받을 수 있습니다.

랜섬머니로 300달러 이상 가치의 비트코인을 요구합니다.


따라서, 워너크라이 랜섬웨어 복구를 원할 경우에는 이 @Pleas_Read_Me@.txt 파일과 @WanaDecryptor@.exe 파일을 임의로 지우거나 수정하시면 안되겠습니다.

그대로 두고 랜섬웨어 복구 전문 업체로 문의하거나 랜섬웨어 복구 서비스를 이용하는것이 좋겠습니다.


워너크라이 랜섬웨어 예방요령 (한국인터넷진흥원 공지)

(Windows 10 기준)


윈도우(Windows) 방화벽에서 SMB에 사용되는 포트를 차단



먼저 PC를 켜기 전 랜선을 뽑아 네트웍에서 분리합니다.



Win키 + R 을 눌러 'Control'를 입력하여 제어판을 실행합니다.



'시스템 및 보안'을 선택합니다.



Windows 방화벽을 선택합니다.



혹시 방화벽이 권장사항으로 설정되지 않았으면 권장사항으로 바꾸고,

좌측의 '고급설정'을 선택 합니다.



"랜섬웨어 워너크라이(WannaCry) 확인/예방/복구 방법"

.



인바운드 규칙 - 새 규칙 을 누르면

'새 인바운드 규칙 마법사'창이 뜨는데, 포트를 선택하고 다음 버튼을 누릅니다.



TCP 로 선택하고, 하단의 특정포트에 139, 445 포트를 입력합니다. 다음 버튼을 누릅니다.



'연결 차단'을 선택하고 다음 버튼을 누릅니다.



도메인, 개인, 공용 항목이 체크되어 있는것을 확인 후 다음 버튼을 누릅니다.



이름은 임의로 SMB 차단으로 지정 후 마침 버튼을 누릅니다.


이후에 리부팅 후 랜선을 꼽고, 아래의 윈도우(Windows)업데이트를 진행합니다.


- 윈도우 XP 서비스팩3, Vista, 윈도우8 -

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


- 윈도우 7 -

http://www.catalog.update.microsoft.com/search.aspx?q=KB4012212


- 윈도우 8.1 -

http://www.catalog.update.microsoft.com/search.aspx?q=KB4012213


- 윈도우 10 - 

자동업데이트를 권장합니다.


평소에 윈도우 업데이트를 자동으로 설정 해 두시면 이런 보안이슈에서 좀더 자유로울 수 있습니다. 특히 동네 PC전문점에서 윈도우설치나 PC관리를 받는 분들은 자동업데이트가 꺼져 있는 경우가 많습니다.

이는 상당히 위험한 설정이므로 반드시 자동업데이트를 켜시기 바랍니다.


위의 업데이트가 완료되면, SMB 차단설정을 삭제합니다. SMB차단으로 PC의 파일공유가 불가하기 때문입니다.



파일공유 필요시 윈도우(Windows) 업데이트 이후 방화벽에서 SMB 차단설정 삭제



[제어판] → [시스템 및 보안] → [Windows 방화벽] → [고급 설정] 으로 이동 후

'SMB 차단'으로 만든 인바운드 규칙을 마우스 오른쪽 버튼으로 선택 후 '삭제'를 선택합니다.



삭제 여부를 묻는창에서 '예'를 누르면 삭제가 완료 됩니다.


워너크라이 랜섬웨어 복구방법


개인 PC가 워너크라이 랜섬웨어에 감염됐을 경우엔 컴퓨터를 포맷하시는 것이 나을 수 있습니다.

그러므로 중요데이터는 틈틈이 외장하드 등에 백업을 하시는것이 좋습니다.


아래는 도움을 받을 수 있는 사이트를 링크 해 드립니다.


Microsoft 보안 공지 MS17-010

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx


노모어랜섬(NoMoreRansom) - 현재 워너크라이는 지원되지 않습니다.

https://www.nomoreransom.org/co/index.html


알약 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격예방을 위한 조치툴

http://blog.alyac.co.kr/1096


안랩 안티랜섬웨어 툴(Beta)

http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=120


[관련글]

멀웨어바이트를 이용한 무료 멀웨어 제거 방법

알약 삭제 방법 윈도우10 기준

무료백신 안랩(AhnLab) V3 Lite 설치 및 광고제거 방법

마이크로소프트(Microsoft)의 바이러스백신 디펜더(Defender) 윈도우(Windows) 10 켜기

윈도우(Windows) 버전 확인 손쉬운 방법

윈도우10 원드라이브(OneDrive) 삭제/원드라이브 제거


------------

이 글의 원본 주소는 http://www.foxcg.com/413 입니다.



작성자

Posted by 뭉탱이_

작성자 정보

Creative Goods - FoxCG.com

태그

관련 글

댓글 영역

블로그