안녕하세요 코리아서버호스팅 입니다. 

최근들어 랜섬웨어 공격이 전세계적으로 무분별 하게 발생하고 있으며

이와 관련하여 (주)코리아서버호스팅에서는 고객님의 안전한 서버 및 PC관리,사용을 위해 아래와 같은 예방요령과

대응방법에 대하여 안내해드립니다.

□ 개요

 o SMB 원격코드실행 취약점 악용한 랜섬웨어 악성코드 공격이 전세계적으로 보고되고 있어 주의 필요

 o 악용된 취약점은 Windows 최신 버전에서는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드

    권고

□ 주요 내용

 o Microsoft Windows의 SMB 원격코드실행 취약점('17.3.14 패치발표, MS17-010) 악용하여 랜섬웨어 악성코드

    유포

   - 패치 미적용 시스템에 대해 취약점을 공격하여 랜섬웨어 악성코드(WannaCry) 감염시킴

 o 랜섬웨어 악성코드(WannaCry) 특징

   - 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화

   - 비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원

* 예방 방법

 o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로

    버전 업그레이드 및 최신 보안패치 적용

 o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고

 ① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단

        ※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)

 ② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화

     - (Windows Vista 또는 Windows Server 2008 이상)

         모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 -> ① set-ItemProperty -Path

                                “HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters” SMB1 -

                                 Type DWORD -Value 0 -Force ② set-ItemProperty -Path

                                 “HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters” SMB2 -

                                  Type DWORD -Value 0 -Force 

     - (Windows 8.1 또는 Windows Server 2012 R2 이상)

         클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제

                                          -> 시스템 재시작 

         서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템

                                재시작

  ③ (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정

        및 기본 포트번호(3389/TCP) 변경

  ④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화

* KISA 보호나라 랜섬웨어 예방 요령

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

*Wannacry 랜섬웨어  FAQ

http://m.post.naver.com/viewer/postView.nhn?volumeNo=7686413&memberNo=3326308

* Microsoft 랜섬웨어 긴급 공지 및 업데이트

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

※ KSIDC Wannacry 랜섬웨어 관련 대응방법 및 QnA

- 대응 방법

http://panel.ksidc.net/cscenter/security_patch/view?bcode=security&bid=12&uid=1064

-QnA

http://panel.ksidc.net/cscenter/security_patch/view?bcode=security&bid=12&uid=1067

※  복구 및 대응방법

랜섬웨어 복구 도구를 사용하여 복원 + 재발 방지를 위한 조치방안 이행

- 재발 방지를 위한 조치방안

 ① 모든 소프트웨어는 최신 버전으로 업데이트하여 사용합니다.

 ② 백신 소프트웨어를 설치하고, 최신 버전으로 업데이트 합니다.

 ③ 출처가 불명확한 이메일과 URL 링크는 실행하지 않습니다.

 ④ 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의해야 합니다.

 ⑤ 중요 자료는 정기적으로 백업합니다.

- 랜섬웨어 복구도구

복원이 100% 되는것은 아니며, 중요한 파일은 반드시 복사본으로 시도하시기 바랍니다.

https://www.krcert.or.kr/ransomware/recovery.do

※ 중요자료는 정기적으로 백업 후 FTP 또는 외장하드를 통하여 저장해 두시기 바랍니다.

※ 백업 관련 문의사항은 (02)593-8320 1번 서버/IDC 기술및 장애문의 또는 작업의뢰 게시판을 통하여

  연락주시면 상세히 안내하여 드리겠습니다.

고객 만족에 최선을 다하는 코리아서버호스팅이 되겠습니다.

감사합니다.