최근에 전 세계적으로 유행하는 랜섬웨어인 워너 크라이 랜섬웨어(WannaCry Ramsomware)에 대한 킬 스위치가 나와서 그나마 숨을 돌리고 있습니다. 그러나 일단 해당 워너 크라이 랜섬웨어(WannaCry Ramsomware)의 랜섬웨어 켤 스위치는 10.69달러로 도메인을 등록하면서 더는 워너 크라이 랜섬웨어(WannaCry Ramsomware)가 확산이 되는 것을 방지했습니다.하지만 워너 크라이 랜섬웨어(WannaCry Ramsomware)는 다른 켤 스위치 도메인과 켤 스위치 기능이 없는 워너 크라이 랜섬웨어(WannaCry Ramsomware) 샘플이 더 많이 있으며 윈도우 보안 업데이트가 되지 않은 컴퓨터를 감염을 시키고 있습니다.일단 워너 크라이 랜섬웨어(WannaCry Ramsomware)에 감염이 된 컴퓨터는 전 세계 99개국에 23만대 이상 컴퓨터가 감염이 이루어졌다고 합니다.
일단 워너 크라이 랜섬웨어(WannaCry Ramsomware)가 감염이 되면 워너 크라이 랜섬웨어(WannaCry Ramsomware)는 같은 네트워크에 연결된 다른 취약점이 있는 컴퓨터를 검색하게 되고 인터넷이라는 공간을 이용해서 무작위 호스트를 스캔을 통해서 빠르게 퍼져나게 돼 있고 현재 워너 크라이 랜섬웨어(WannaCry Ramsomware) 사용을 하는 SMB 익스플로잇은 지난 글에도 언급했지만, NSA에서 만든 해킹툴로 모인 EternalBlue로 확인이 되고 한 달 전에 해커 그룹인 새도우 브로큰이라는 해커들이 입수했습니다.
다만 워너 크라이 랜섬웨어(WannaCry Ramsomware)는 아직은 확산 가능성이 있다고 합니다. 예를 들어서 악성코드에 숨겨진 도메인 이름을 등록하면서 해당 워너 크라이 랜섬웨어(WannaCry Ramsomware)가 전 세계적으로 확산이 되는 것을 차단했지만, 예를 들어서
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.xxx가 등록이 돼 있어서 해당 도메인은 워너 크라이 랜섬웨어(WannaCry Ramsomware)이 전 세계적으로 퍼져 나가는 구실을 하는 부분인데 해당 부분이 실패했을 때는 SMB 윔이 시스템을 감염을 시키는 방식으로 진행됩니다. 문제는 해당 도메인은 MalwareTech에서 문제의 도메인을 등록하는 바람에 감염된 시스템에서 실패 즉 싱크홀 상황으로 만들어 버려서 그러나 악의적인 목적이 있는 해커들도 이를 눈치를 챘는지 워너 크라이 랜섬웨어(WannaCry Ramsomware)에 대한 변형을 시도했습니다. 그리고 다시 감염속도를 느리게 하려고 다시 리디렉션하도록 조치가 되었습니다.
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.xxx
이번에 새로운 발견이 된 워너 크라이 랜섬웨어(WannaCry Ramsomware) 변종은 일단은 기본적으로는 지난번하고 같이 동작을 하도록 설계가 돼 있습니다. 그러나 여기서 사용자 분들이 오해할 수가 있는 부분이 그럼 끝난 것 아니냐고 할 것입니다. 대답은 아닙니다.워너 크라이 랜섬웨어(WannaCry Ramsomware)은 현재 확산을 방지 및 피해를 줄이려고 노력하는 것은 SMB 윔 변형입니다.
일단 워너 크라이 랜섬웨어(WannaCry Ramsomware)의 의해서 악용이 되는 것은 취약점은 지난 2017년3월 정기 보안 업데이트를 통해서 업데이트가 진행이 되었습니다. 기본적으로 아직 까지 기술 지원을 하는 Windows 7, Windows 8.1, Windows 10 같은 경우에는 윈도우 보안 업데이트를 통해서 해당 보안 패치를 업데이트를 진행을 할 수가 있으면 Windows 10 같은 경우 Windows 10의 새로운 버전인 레드 스톤 2로 업데이트가 될 수가 있습니다. 물론 해당 레드스톤2로 업데이트를 진행을 했으면 무관한 부분입니다.
그리고 윈도우 기술 지원을 하지 않는 Windows XP, Windows Vista, Windows 8, Windows 8, Windows Server 2003, Windows Server 2008 같은 경우에는 윈도우 카탈로그 홈페이지에 접속해서 KB4012598를 자신의 운영체제에 맞는 것을 선택하고 다운로드해서 설치를 하시고 컴퓨터를 재부팅을 하시면 됩니다. 물론 워너 크라이 랜섬웨어(WannaCry Ramsomware)가 이것으로 끝이 난다는 보장은 없습니다. 즉 언제든지 새로운 취약점을 악용한 변종이 출현할 가능성이 있습니다. 일단은 지난 시간에 소개해 드린 방범대로 SMBv1를 비활성화하는 방법도 한 방법이 될 것입니다.
<기타 관련 글>
[보안(Security)] - WannaCry(워너크라이)랜섬웨어 감염 증상 및 예방 방법
[보안(Security)] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware
[보안(Security)] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법
[보안(Security)] - Shadow Brokers의 Microsoft Windows OS Exploit 도구 취약점 대한 임시 조치 방법
[보안(Security)] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
DarkoderCrypt0r 랜섬웨어 감염 증상 및 예방 방법 (6) | 2017.05.17 |
---|---|
노턴 인터넷 시큐리티 22.9.3.13 제품 업데이트 (4) | 2017.05.17 |
Apple(애플) 새로운 보안 취약점을 수정한 iOS 10.3.2 업데이트 (6) | 2017.05.16 |
WannaCry(워너크라이)랜섬웨어를 모방한 WannaCry(워너크라이)랜섬웨어 4.0 변종 랜섬웨어 등장 (0) | 2017.05.16 |
WannaCry(워너크라이)랜섬웨어 감염 증상 및 예방 방법 (8) | 2017.05.14 |
공유기 DNS 변조를 악용하는 네이버 사칭 피싱 공격 큐싱 예방 방법 (0) | 2017.05.12 |
인텔 칩 취약점을 악용한 컴퓨터 권한 획득 취약점 발견 (2) | 2017.05.11 |
Windows 10 2017 년 5월 보안 정기 보안 업데이트 (4) | 2017.05.10 |