소프트인포 더좋은소프트웨어
Home고객지원공지사항
공지사항
[긴급]대규모 랜섬웨어 공격 WannaCry에 대한 카스퍼스키랩 대응-05-14   17-05-15
소프트정보…   1,889
 

5월12일 대규모 랜섬웨어 공격이 전 세계적으로 행해졌습니다.

카스퍼스키랩 연구원들은 전 세계 74개국에서 최소 45,000건의 감염 시도를 탐지 하였으며 대부분은
러시아에서 이루어졌습니다.
랜섬웨어는 마이크로소프트 취약점을 이용하여 감염 공격을 하였습니다.
(이 취약점에 대해서는 Microsoft Security Bulletin MS17-010을 참고 하시기 바랍니다)

이 공격은 4월14일 Shadowbroker 덤프에서 공개된 “Eternal Blue”를 이용하였습니다.


이 공격이 시스템 안으로 침투하게 되면 공격자는 루트킷을 설치하여 데이터 암호화 소프트웨어를
다운로드 하도록 한 후 파일을 암호화 합니다.
처음에는 비트코인으로 600달러를 요구하며 시간이 갈수록 가격을 올립니다.

카스퍼스키랩 전문가들은 현재 암호화된 데이터의 복호화 가능성에 대해 조사하고 있습니다.

카스퍼스키랩 보안 제품은 이 공격에 사용된 악성 코드를 다음과 같이 탐지하고 있습니다.

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (시스템 감시기가 반드시 작동 중이어야 합니다)


감염 위협을 줄이기 위하여 다음과 같은 조치를 취할 것을 권장합니다.

• 마이크로소프트사의 공식 패치를 설치하여 이 공격에 이용된 취약점을 제거 합니다.
• 네트워크의 모든 노드의 보안 솔루션이 작동 중인지 점검합니다.
• 만약 카스퍼스키랩의 솔루션을 사용중인 경우에는, 시스템 감시기를 포함하여 행동기반 사전 방역
   기능이 작동 중인지 확인 합니다.
• 카스퍼스키랩 솔루션에서 중요 영역 검사 등을 즉시 시행하여 감염 위협을 탐지 합니다.
• MEM: Trojan.Win64.EquationDrug.gen이 탐지된 경우에는 시스템을 재부팅 합니다

WannaCry 공격 방법에 대한 자세한 내용 및 IoC(Indicators of Compromise-침해지표)에 대해서는 Securelist 홈페이지를 참고하시기 바랍니다. 

★ 영향을  받는 燒프트웨어 ★

Windows XP/Windows Vista/Windows 7/Windows 8/Windows 8.1/Windows RT 8.1

Windows10 /Windows Server 2003/Windows Server 2008/Windows Server 2008R2/

Windows Server 2012/ Windows Server 2012R2/
Windows Server 2016   

★ 부팅전 대응 ★

-시스템 부팅전 인터넷 연결을  분리후 부팅

-공유 폴더 해제 및 방화벽에서 SMB포트 (137,138,445)차단

-인터넷 연결후 MS 최신 보안 업데이트 (서비스가 종료된 Windows XP,Windows Vista,Windows Server 2003 등도 랜섬웨어 확산을  막기위해 업데이트 지원되고 있습니다.)


http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

https://www.krcert.or.kr/data/secNoticeView.do?builletin_writing_sequence=25703


기업에서는 랜섬웨어 유입 및 확산을 차단할 수 있도록 보안조치를 적극 시행하고 랜섬웨어 감염 등 피해가 발생한 경우 KISA(국번없이 118)로 즉시 신고해야한다.

랜섬웨어 공격은 12일(현지시간) 영국에서 시작됐는데 국내의 경우, 주말과 겹쳐 업무용 컴퓨터 사용 빈도가 낮아 직격탄은 피했다. 하지만 공공기관·기업 등의 업무가 본격화되는 월요일은 피해확산이 불가피할 전망이다.

감염이 의심되면 한국인터넷진흥원 인터넷침해대응센터(국번 없이 118)나 보안업체에 신고해 조언을 구해야 한다.

USB와 외장하드 등 외부 저장장치의 연결도 끊어야 한다.

외부 장치에 있는 파일까지 암호화될 수 있기 때문이다.

 
공지사항

[긴급공지][ESTsoft] 개인정보 침해사고(도용) 가능성에 대한 안내 및 사과의 말씀 
(주)소프트정보서비스 CIO News Letter