꿈을꾸는 파랑새

최근에 전 세계적으로 유행하는 랜섬웨어인 워너 크라이 랜섬웨어(WannaCry Ramsomware)에 대한 킬 스위치가 나와서 그나마 숨을 돌리고 있습니다. 그러나 일단 해당 워너 크라이 랜섬웨어(WannaCry Ramsomware)의 랜섬웨어 켤 스위치는 10.69달러로 도메인을 등록하면서 더는 워너 크라이 랜섬웨어(WannaCry Ramsomware)가 확산이 되는 것을 방지했습니다.하지만 워너 크라이 랜섬웨어(WannaCry Ramsomware)는 다른 켤 스위치 도메인과 켤 스위치 기능이 없는 워너 크라이 랜섬웨어(WannaCry Ramsomware) 샘플이 더 많이 있으며 윈도우 보안 업데이트가 되지 않은 컴퓨터를 감염을 시키고 있습니다.일단 워너 크라이 랜섬웨어(WannaCry Ramsomware)에 감염이 된 컴퓨터는 전 세계 99개국에 23만대 이상 컴퓨터가 감염이 이루어졌다고 합니다.

일단 워너 크라이 랜섬웨어(WannaCry Ramsomware)가 감염이 되면 워너 크라이 랜섬웨어(WannaCry Ramsomware)는 같은 네트워크에 연결된 다른 취약점이 있는 컴퓨터를 검색하게 되고 인터넷이라는 공간을 이용해서 무작위 호스트를 스캔을 통해서 빠르게 퍼져나게 돼 있고 현재 워너 크라이 랜섬웨어(WannaCry Ramsomware) 사용을 하는 SMB 익스플로잇은 지난 글에도 언급했지만, NSA에서 만든 해킹툴로 모인 EternalBlue로 확인이 되고 한 달 전에 해커 그룹인 새도우 브로큰이라는 해커들이 입수했습니다.

다만 워너 크라이 랜섬웨어(WannaCry Ramsomware)는 아직은 확산 가능성이 있다고 합니다. 예를 들어서 악성코드에 숨겨진 도메인 이름을 등록하면서 해당 워너 크라이 랜섬웨어(WannaCry Ramsomware)가 전 세계적으로 확산이 되는 것을 차단했지만, 예를 들어서
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.xxx가 등록이 돼 있어서 해당 도메인은 워너 크라이 랜섬웨어(WannaCry Ramsomware)이 전 세계적으로 퍼져 나가는 구실을 하는 부분인데 해당 부분이 실패했을 때는 SMB 윔이 시스템을 감염을 시키는 방식으로 진행됩니다. 문제는 해당 도메인은 MalwareTech에서 문제의 도메인을 등록하는 바람에 감염된 시스템에서 실패 즉 싱크홀 상황으로 만들어 버려서 그러나 악의적인 목적이 있는 해커들도 이를 눈치를 챘는지 워너 크라이 랜섬웨어(WannaCry Ramsomware)에 대한 변형을 시도했습니다. 그리고 다시 감염속도를 느리게 하려고 다시 리디렉션하도록 조치가 되었습니다.

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.xxx
이번에 새로운 발견이 된 워너 크라이 랜섬웨어(WannaCry Ramsomware) 변종은 일단은 기본적으로는 지난번하고 같이 동작을 하도록 설계가 돼 있습니다. 그러나 여기서 사용자 분들이 오해할 수가 있는 부분이 그럼 끝난 것 아니냐고 할 것입니다. 대답은 아닙니다.워너 크라이 랜섬웨어(WannaCry Ramsomware)은 현재 확산을 방지 및 피해를 줄이려고 노력하는 것은 SMB 윔 변형입니다.
일단 워너 크라이 랜섬웨어(WannaCry Ramsomware)의 의해서 악용이 되는 것은 취약점은 지난 2017년3월 정기 보안 업데이트를 통해서 업데이트가 진행이 되었습니다. 기본적으로 아직 까지 기술 지원을 하는 Windows 7, Windows 8.1, Windows 10 같은 경우에는 윈도우 보안 업데이트를 통해서 해당 보안 패치를 업데이트를 진행을 할 수가 있으면 Windows 10 같은 경우 Windows 10의 새로운 버전인 레드 스톤 2로 업데이트가 될 수가 있습니다. 물론 해당 레드스톤2로 업데이트를 진행을 했으면 무관한 부분입니다.
그리고 윈도우 기술 지원을 하지 않는 Windows XP, Windows Vista, Windows 8, Windows 8, Windows Server 2003, Windows Server 2008 같은 경우에는 윈도우 카탈로그 홈페이지에 접속해서 KB4012598를 자신의 운영체제에 맞는 것을 선택하고 다운로드해서 설치를 하시고 컴퓨터를 재부팅을 하시면 됩니다. 물론 워너 크라이 랜섬웨어(WannaCry Ramsomware)가 이것으로 끝이 난다는 보장은 없습니다. 즉 언제든지 새로운 취약점을 악용한 변종이 출현할 가능성이 있습니다. 일단은 지난 시간에 소개해 드린 방범대로 SMBv1를 비활성화하는 방법도 한 방법이 될 것입니다.


글 공유하기 및 아이허브 추천 코드

페이스북
트위터
네이버
밴드
카톡
카스

댓글 보기

  1. Favicon of https://bubleprice.net 버블프라이스 2017.05.15 18:57 신고

    유용한 정보 잘보고 갑니다^^
    새로운 한 주가 시작되었습니다.
    좋은 일들만 가득하시길요

  2. Favicon of https://prolite.tistory.com IT세레스 2017.05.15 20:39 신고

    더이상의 변종은 나오지 않았으면 좋겠습니다.

  3. Favicon of https://trip98.tistory.com veneto 2017.05.15 23:26 신고

    생각보다 이번 smb여파는 좀 오래갈것 같네요.
    rdp랜섬웨어가 출연할수도 있다는 소문도 돌고있더군요

    • Favicon of https://wezard4u.tistory.com Sakai 2017.05.16 01:17 신고

      다른 취약점도 있으니까 언제든지 해당 취약점들을 악용을 할수가 있다고 생각이 됩니다.

  4. Favicon of https://jongamk.tistory.com 핑구야 날자 2017.05.16 08:03 신고

    오늘도 조심하는게 좋겠군요~` 잘 보고 갑니다.

    • Favicon of https://wezard4u.tistory.com Sakai 2017.05.16 15:50 신고

      기본적으로 윈도우 업데이트 자동 활성화,어도비 플래시 플레이어 자동 업데이트 활성화등의 방법을 사용을 하면 랜섬웨어와 같은 악성코드에 감염이 되는것을 최소화할수가 있을것입니다.

TOP