[포티넷 코리아 공지] 위너크라이 (WannaCry)의 랜섬웨어에 대한 대비책 제시

작성자
foryounet
작성일
2017-05-17 09:55
조회
15
5월 12일부터 급속히 번지고 있는 새로운 변종 랜섬웨어 (Wanna Cry) 가 발생하여, 현재 전세계는 공포에 떨고 있습니다. 저희 Fortinet 자체 연구 기관인 FortiGuard LAB에서는 바로 이 랜섬웨어를 추적하기 시작하였습니다. 그리하여 포티넷은포티넷제품을사용중인고객의시스템보호를위하여즉시 AV IPS 시그니처를업데이트및배포하여이를차단하였고, 1차감염된시스템의 2차확대감염을차단하기위해서포티넷웹필터링(Fortinet Web filtering) 서비스에서해당랜섬웨어에대한명령및제어서버(command-and-control servers)와의통신을차단하였습니다.   이 랜섬웨어는 러시아 내무부, 중국 대학, 헝가리 및 스페인의 통신사업자들 그리고 영국 국립 보건 서비스가 운영하는 병원 및 클리닉과 같이 멀리 떨어져 있는 기관들에 영향을 미친 매우 전염성이 강하고 치명적인 자기복제 랜섬웨어로 알려져 있습니다. 또한 WCry, WannaCry, WanaCrypt0r, WannaCrypt 또는 Wana Decrypt0r을 비롯한 여러 가지 이름으로 불려지며, 지난 달 쉐도우 브로커 (The Shadow Brokers)로 알려진 해커 그룹이 온라인으로 유출 된 NSA 해킹툴을 이용한 ETERNALBLUE 취약점 공격을 통해 퍼졌습니다. ETERNALBLUE는 Microsoft SMBv1 (Server Message Block 1.0) 프로토콜의 취약점을 악용합니다.   아래의 Microsoft 제품이 영향을 받습니다.
  • Windows Vista

  • Windows Server 2008

  • Windows 7

  • Windows Server 2008 R2

  • Windows 8.1

  • Windows Server 2012 and Windows Server 2012 R2

  • Windows RT 8.1

  • Windows 10

  • Windows Server 2016

  • Windows Server Core installation option


바로 다음 사항 들을 실행하시기 바랍니다.
  • 사용중인 모든 윈도우시스템에 Microsoft 최신 Patch를 적용하십시오.

  • 멀웨어가 다운로드 되지 못하도록 FortiGate의 Web filtering과 AV inspection engine을 활성화시켜 web filtering에서 C&C서버와 통신을 할 수 없도록 차단 해주십시오.

  • 그룹 폴리시를 이용하여 WNCRY 확장자의 실행을 차단 하십시오.

  • UDP 137/138, TCP 139/445 통신을 격리 시켜주십시오.


또한 아래와 같은 예방조치를 취할 것을 권고 드립니다.
  • 사용중인 모든 기기들의 OS, 소프트웨어 펌웨드를 주기적으로 업데이트 할 수 있는 일상적인 절차를 수립해 주십시오. 다양한 종류의 기기들은 운영중인 큰 규모의 조직인 경우 중앙에서 이러한 patch들 관리할 수 있는 시스템을 검토해 주십시오.

  • 방화벽에서 IPS, AV 그리고 Web Filter를 활성화시키고 최신 버전으로 유지해 주십시오.

  • 주기적으로 백업을 수행하십시오. 백업된 정보들은 무결성을 검증, 암호화 해서 관리하시고 이 모든 절차들이 정상 작동하는지 지속적으로 확인을 하십시오.

  • 모든 송수신 되는 이메일을 스캔하여 보안위협이나 실행파일들이 사용자들에 전달되는지 감지 해주십시오.

  • anti-virus and anti-malware 프로그램이 주기적으로 자동적으로 실행될 수 있도록 설정해주십시오.

  • 이메일에 통해서 전달되는 파일은 매크로 스크립트를 비활성화 해주십시오. 첨부된 오피스 파일들은 뷰어를 통해서 확인을 하도록 권고 드립니다.

  • 보안침해 대한 업무대응전략 수립 및 업무 보안취약점에 대한 정기적인 평가를 수행해주십시오.


만일 해당 랜섬웨어에 감염이 된 경우 아래의 조치를 참조해 주십시오.
  • 추가적인 감염 및 확산을 방지하기 위해 즉시 감염된 디바이스를 네트웍으로 분리하여 격리하십시오.

  • 네트웍 전체가 감염된 경우 즉시 모든 디바이스를 네트웍으로부터 분리하십시오,

  • 완전히 망가지지 않은 감염된 디바이스는 전원을 꺼주십시오. 이를 통해 복구할 수 있는 시간을 벌 수 있을 수도 있고 또한 상황이 악화되는 것을 방지할 수 도 있을 것입니다.

  • 사용자 PC에서 감염이 감지된 경우 이에 대한 백업시스템은 즉시 네트웍에서  분리하시고 백업된 자료가 감염이 되어 있는지 확인을 해주십시오.

  • 랜섬웨어 감염을 알리고 지원을 받기 위해서 즉시 법무팀과 같은 법률관련 부서에 연락을 해주십시오.


포티넷은 고객의 보안과 안전이 무엇보다도 가장 중요합니다. 저희는 악성 행동에 대응하기 위해 상황을 적극적으로 모니터링하고 있으며 새로운 사항이 발견 될 시 즉시 업데이트 해드리도록 하겠습니다.

포티넷 문의처 Kr-callcenter@fortinet.com