유익한 정보2017. 5. 15. 11:06
반응형

http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723


랜섬웨어 예방 요령

- SMB 원격코드실행 취약점 악용한 랜섬웨어 악성코드 공격이 전세계적으로 보고되고 있어 주의 필요

- 악용된 취약점은 Windows 최신 버전에서는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드









감염경로 차단 방법(방화벽 설정 변경)



□ 기타 해결 방안(아래 버전을 사용하는 경우, 다음과 같은 방안으로도 해결 가능)

   ㅇ Windows Vista 또는 Windows Server 2008 이상 사용자

       시작 -> 'Windows Powershell' 입력 -> 우클릭 -> 관리자 권한으로 실행 ->

      ① set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver

\Parameters" SMB1 -Type DWORD -Value 0 -Force

      ② set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver

\Parameters" SMB2  -Type DWORD -Value 0 -Force


   ㅇ Windows 8.1 또는 Windows Server 2012 R2 이상 사용자

       클라이언트 운영체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제

                                        -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작 

       서버 운영체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제

                                        -> 확인 -> 시스템 재시작



위 내용은 KISA 보호나라 & KrCERT 에서 보안 공지로 올린 내용이다.

출처 : SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령



[[참고]]

[SMB 서비스 포트]

TCP 137, 138

UDP 139, 445



정보 출처 : http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703 (KISA 보호나라)

※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)


상세 설정 방법 : 

http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723





중요한 보안 방법 : 윈도우 사용자는 필히 Windows Update를 실행해서 최신 상태를 유지한다.



참고>

- Kisa 한국인터넷진흥원, 미래창조과학부

- 랜섬웨어 예방 및 복구, 치료를 위한 대응방법, 프로그램, 사이트 소개

반응형
Posted by 은둔고수
유익한 정보2017. 5. 15. 08:26
반응형

[긴급] 실시간 이슈 검색어에 1등 자리를 차지할 정도로 요즘 기사에 많이 언급을 하며

뉴스에도 나올정도로 피해가 심각한게 RANSOMWARE이다.

특히 Windows SMB 취약점을 이용한 WannaCry 랜섬웨어가 전 세계로 감염 확산이 되고 있다.



랜섬웨어 복구 및 대응방법 : KISA 보호나라 & KrCERT

- 중소기업 정보보안 지원서비스

랜섬웨어에 감염되었다면 대응 및 복구절차에 따라 진행하고 재발 방지를 위한 조치방안을 이행한다.

- 랜섬웨어 최근 동향 및 복구프로그램 제공

- Ransom 이외에도 다양한 보안약점이나 웹 취약점 점검 등 많은 정보를 얻을 수 있다.

https://www.krcert.or.kr/ransomware/recovery.do




랜섬웨어 걸렸을 때 풀어주는 사이트 : 노모어랜섬

대한민국 경찰청과 Europol의 협약 체결로 일부 랜섬웨어 복구 도구 무료 제공, 한국어 지원

범죄자에게 비용을 지불하지 않고 램섬웨어에 걸린 암호화된 파일들을 복원할 수 있다.

https://www.nomoreransom.org/co/index.html




한국랜섬웨어침해대응센터

- 국내 랜섬웨어 대응센터

https://www.rancert.com/




안랩에서 제공하는 램섬웨어 복구 프로그램

- 안랩(AhnLab) 랜섬웨어 보안센터

- 랜섬웨어 복구 툴을 무료로 제공

http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do




랜섬웨어는 이용자의 PC나 휴대전화 등을 잠그거나 파일을 암호화시키는 악성 프로그램이다.

Ransomware에 감염되는 경우 돈을 지불하기 전에는 감염된 파일들을 복구하지 못한다.

하지만 비용을 지불했다고 해도 100% 파일 복구로 이어지지 않는다고 하니 절대 응하지 않는다.




중요한 보안 방법 : 윈도우 사용자는 필히 Windows Update를 실행해서 최신 상태를 유지한다.


참고> SMB 예방법, 보안 취약점을 악용한 WannaCry 랜섬웨어 방지 사용자 조치 요령

반응형
Posted by 은둔고수