http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723
랜섬웨어 예방 요령
- SMB 원격코드실행 취약점 악용한 랜섬웨어 악성코드 공격이 전세계적으로 보고되고 있어 주의 필요
- 악용된 취약점은 Windows 최신 버전에서는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드
감염경로 차단 방법(방화벽 설정 변경)
□ 기타 해결 방안(아래 버전을 사용하는 경우, 다음과 같은 방안으로도 해결 가능)
ㅇ Windows Vista 또는 Windows Server 2008 이상 사용자
시작 -> 'Windows Powershell' 입력 -> 우클릭 -> 관리자 권한으로 실행 ->
① set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB1 -Type DWORD -Value 0 -Force
② set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB2 -Type DWORD -Value 0 -Force
ㅇ Windows 8.1 또는 Windows Server 2012 R2 이상 사용자
클라이언트 운영체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제
-> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작
서버 운영체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제
-> 확인 -> 시스템 재시작
위 내용은 KISA 보호나라 & KrCERT 에서 보안 공지로 올린 내용이다.
출처 : SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령
[[참고]]
[SMB 서비스 포트]
TCP 137, 138
UDP 139, 445
정보 출처 : http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703 (KISA 보호나라)
※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
상세 설정 방법 :
http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723
중요한 보안 방법 : 윈도우 사용자는 필히 Windows Update를 실행해서 최신 상태를 유지한다.
참고>
- Kisa 한국인터넷진흥원, 미래창조과학부
