워너크라이

위키百科, 우리 모두의 百科事典.

워너크라이 랜섬웨어의 韓國語 感染窓
初期에 影響을 받은 國家들 [1]

워너크라이 (WannaCry) 또는 워너크립트 (WannaCrypt) [2] , WanaCrypt0r 2.0 는 2017年 5月 12日부터 登場한 랜섬웨어 멀웨어 툴이다. 2017年 5月 12日부터 大規模 사이버 攻擊 을 통해 널리 配布되었으며, 全世界 99個國의 컴퓨터 12萬臺 異常을 感染시켰다. [3] [4] 感染된 컴퓨터로는 20個의 言語로 비트코인 을 支給하면 풀어주겠다는 메시지를 띄웠다.

워너크라이 사이버 攻擊으로 스페인의 텔레포니카 와 英國의 國民 健康 서비스 (NHS), [5] 페덱스 , 도이체半 等의 大企業이 被害를 보았다. [6] [7] [8] 이와 同時에 다른 99個國에서도 수많은 컴퓨터가 攻擊 對象이 되었다고 報道되었다. [9] [10] 러시아 內務部 , 러시아 防衛部 , 러시아 通信社 메가폰 亦是 感染 被害를 보았다. [11] 大略 23萬臺의 컴퓨터가 이 랜섬웨어에 感染되어 被害를 입은 것으로 推定된다. [12]

이러한 攻擊의 規模 때문에 마이크로소프트 윈도우 XP 以上의 오래된 未支援 運營 體制에 對한 업데이트를 提供하는 異例的 措置를 取했다. [2] [13]

카스퍼스키 와 몇몇 사이버 專門家들은 워너크라이의 背後가 北韓 일 것으로 推定하고 있다. [14]

背景 [ 編輯 ]

特徵 [ 編輯 ]

워너크라이 랜섬웨어는 2017年 4月 14日 더 섀도 브로커스 라는 해커 그룹이 公開한 [15] [16] 이터널블루 라는 마이크로소프트 윈도우 의 파일 共有에 使用되는 서버 메시지 블록 (SMB) 遠隔코드의 脆弱點을 惡用한 것으로, 이메일 添附파일을 통해 流布되는 一般的인 랜섬웨어와 달리 인터넷 네트워크에 接續만 해도 感染된다. 워너크라이는 文書 파일, 壓縮 파일, 데이터베이스 파일, 假想머신 파일 等 다양한 파일을 暗號化하며, 韓國語 를 비롯한 28個의 多國籍 言語를 支援한다. [17] [18] 또한 暗號化된 파일을 푸는 代價로 300∼600달러의 비트코인 을 要求하는 메시지를 띄운다. [3] 이 랜섬웨어의 感染은 2017年 3月 14日 마이크로소프트에서 配布했던 MS17-010 脆弱點 [19] 의 패치를 통해 豫防 可能하다.

PC가 워너크라이에 感染되면 'Wana Decrypt0r 2.0'이라는 이름의 窓이 뜬다. 感染窓에는 狀況 說明, 復舊 方法, 金錢 支給 方法, 비트코인을 보내는 住所가 함께 標示되며, 支拂 期限과 파일을 잃게 되는 期限도 함께 標示된다. [18] 感染된 파일名에는 '.WNCRY'가 붙어, '파일名.jpg.WNCRY'와 같은 式으로 파일名을 變更해 暗號化한다. [18] 萬若 保安 프로그램이 워너크라이 랜섬웨어를 지우게 되면 背景畵面이 검은色 窓으로 바뀌며, 워너크라이를 다시 稼動하라는 警告文이 뜨게 된다. [18]

본 랜섬웨어는 特히 Windows XP 와 7 버전이 脆弱點을 가지고 있다고 알려져 있으며 上位 버전은 平素에 윈도우 업데이트와 백신의 週期的 업데이트 等으로 豫防할 수 있다고 한다.

킬 스위치 [ 編輯 ]

大規模 攻擊 이틀째인 5月 13日 , 트위터 計定으로 '@malwaretechblog'라는 이름의 사이버保安 專門家가 美國 保安 業體 프루프포인트 의 다리엔 후스 等 다른 이들의 도움을 받아 워너크라이 랜섬웨어의 킬 스위치 를 發見했다. 워너크라이 랜섬웨어의 惡性 코드 를 分析한 結果 이 코드가 特定 도메인 에 接續을 試圖하며, 이 도메인은 登錄돼 있지 않아 活性化되어 있지 않은 點을 發見했다. [20]

여기에 注目한 專門家는 10.69달러을 登錄費로 내고 도메인을 登錄해 活性化한 後, 美國 로스앤젤레스 에 있는 서버가 이 도메인 이름을 쓰도록 했다. 情報 分析 結果 워너크라이 랜섬웨어는 萬若 도메인 住所가 活性化돼 있지 않으면 擴散 活動을 繼續하고, 도메인 住所가 活性化돼 있으면 스스로 電波를 中斷하는 것으로 나타났다. 實際로도 도메인 이름이 活性化된 後부터 워너크라이 랜섬웨어는 스스로 電波를 中斷하기 始作했다. 때문에 워너크라이 랜섬웨어 製作者는 願하는 境遇 擴散을 中斷할 수 있도록 도메인 이름으로 된 킬 스위치를 넣어 惡性코드를 設計한 것으로 推定되었다. [20]

도메인 이름을 登錄한 保安 專門家는 《 데일리 비스트 》와의 인터뷰에서 "(도메인 이름이) 登錄돼 있지 않은 것을 보고 '내가 登錄해야겠다'는 생각을 했다"며 登錄하자마자 "卽刻 秒當 5000∼6000件의 接續이 이뤄지는 것을 봤다"고 說明했다. 또 "도메인 이름을 登錄할 當時에는 이렇게 하면 擴散이 中斷될 것이라는 事實을 몰랐고, 그런 面에서는 偶然히 發見한 것이라고 할 수 있다"고 說明했다. [20]

變種의 發生 [ 編輯 ]

胃의 사이버保安 專門家의 킬 스위치 發見으로 인하여 感染者의 增加는 暫時 멈췄으나 擴散을 暫時 멈춘 것일 뿐이였으며 워너크라이 2.0의 登場으로 "킬 스위치"가 없는 變種이 發生하였다. [21]

被害 [ 編輯 ]

感染 事例는 모든 大陸에서 發見됐으며, 러시아 , 英國 유럽 國家, 印度 , 美國 , 臺灣 等에 特히 集中되었다. 大韓民國 日本 , 中國 等에서도 事例가 여럿 發見됐다. [3]

英國의 國民 健康 서비스 (NHS) 傘下 40餘個 病院의 PC가 이番 랜섬웨어 攻擊으로 診療에 蹉跌을 빚었다. 랜섬웨어에 걸린 病院들은 시스템을 保護하기 위한 措置로 現在 모든 서비스를 中斷한 狀態인 것으로 傳해지고 있다. [22] 러시아 警察을 管轄하는 러시아 內務部 에서 적어도 1,000代의 컴퓨터가 感染됐으며, 러시아의 大型 移動通信社 메가폰 도 攻擊을 받았다. [3]

大韓民國 에서는 15日 基準으로 다섯 곳의 企業이 韓國인터넷振興院 에 正式 被害 申告를 하고 技術支援을 받았다. CJ CGV 도 랜섬웨어 攻擊을 받아, 數十 個의 上映館을 統制하는 廣告網에 랜섬웨어가 浸透하는 被害가 發生했다. 政府나 公共機關의 被害는 아직 없는 것으로 確認됐다. 그밖에 버스 停留場 端末機나, 個人 PC房과 食堂 等 小規模 商街에서도 被害 事例가 確認되었다. [23]

避해 機關 目錄 [ 編輯 ]

對應 [ 編輯 ]

豫防法 [ 編輯 ]

大韓民國 未來創造科學部 韓國인터넷振興院 (KISA) 等이 랜섬웨어 豫防 사이트 保護나라 를 통해 公開한 워너크라이 豫防 對國民 行動 要領은 總 3段階로 나뉜다. [48]

  1. PC를 켜기 前에 인터넷 連結 랜線 을 뽑거나 無線 와이파이 를 꺼서 인터넷 連結을 遮斷한다.
  2. PC 電源을 켜서 윈도우 防火壁 의 設定을 變更해 惡性코드가 流布되는 네트워크 포트를 遮斷한다.
  3. 인터넷을 再連結韓 뒤, 問題가 된 保安 脆弱點을 解決하기 위해 윈도우 運營體制를 업데이트 하고, 백신 도 最新 버전으로 업데이트할 必要가 있다.

인터넷 連結을 遮斷한 뒤 가장 必要한 段階는 두番째 段階로, 防火壁 設定을 變更하는 일이다. 攻擊이 들어올 可能性이 있는 SMB 포트 (137-139, 445 포트)를 遮斷해야하는 方式이다. 制御瓣 의 '시스템 및 保安'에서 윈도우 防火壁 의 高級 設定에 들어가고, 인바운드 規則을 클릭해 새 規則을 만든다. 規則 方式은 포트로 設定한 다음, TCP와 特定 로컬 포트를 체크하고 入力欄에 137, 138, 139, 445를 入力한다. 도메인, 個人, 共用 체크를 確認한 뒤 이름을 設定하면 遮斷이 完了된다. [48]

윈도우즈 7의 境遇 업데이트가 매우 느려지는 誤謬가 있을 수 있는데 이러한 境遇 別途로 파일을 貯藏 받아 實行하면 設置할 수 있다. ( 시스템 업데이트 準備道具 Archived 2017年 1月 5日 - 웨이백 머신 )

國家的 對應 [ 編輯 ]

윤영찬 大統領祕書室 國民疏通首席은 5月 15日 靑瓦臺 春秋館 에서 記者會見을 열고 "랜섬웨어 國內 被害는 9件이나, 15日부터 擴散이 憂慮된다"고 밝혔다. 또 " 國精院 은 14日 18時頃 國家사이버 危機警報 를 '關心'에서 '注意'로 上向調整했다"며 "이와 함께 公共機關 對象 防火壁 保安强化 等의 措置를 取했다"고 밝혔다. 大韓民國 未來創造科學部 韓國인터넷振興院 은 랜섬웨어 샘플 48種을 確保해 初動 分析을 實施하고, 對國民 行動要領을 配布했다. [49]

테리사 메이 英國 總理 는 랜섬웨어에 對해 "이番 攻擊은 國家健康서비스를 目標로 한 것이 아니다. 全世界的인 攻擊이다. 수많은 國家와 機關이 影響을 받았다"고 밝혔다. [50] 하지만 保安 專門家들은 이番 해킹의 英國 被害는 執權黨인 保守黨 政府의 緊縮 政策 에 따라 國家健康서비스의 豫算을 削減시키면서, 保安에 脆弱해 被害를 악화시켰다고 指摘하고 있다. 英國 保健部 가 오래된 윈도우 XP 시스템을 사이버 攻擊으로부터 保護하기 위해 마이크로소프트 側에 追加 豫算을 支給해 急한 불을 끈 것이 오히려 큰 禍를 불렀다는 것이다. [22] [51] 앰버 러드 內務長官은 患者의 데이터가 백업 되었는지 與否에 對해서 答辯을 拒否했고, 존 애슈워스 野黨 保健長官은 제러미 헌트 保健長官이 國家 사이버 保安 센터 國家犯罪國 은 勿論 두 달 前 마이크로소프트로부터 指摘을 받았는데도 對應을 拒否한 點에 對해 告發했다. [52]

各州 [ 編輯 ]

  1. http://www.bbc.com/news/world-europe-39907965
  2. MSRC Team. “Customer Guidance for WannaCrypt attacks” . Microsoft . 2017年 5月 13日에 確認함 .  
  3. 임화섭 (2017年 5月 13日). “워너크라이 랜섬웨어, 全世界 12萬件 以上 感染” . 聯合뉴스 . 2017年 5月 14日에 確認함 .  
  4. Song, Kyung-Hwan; Kang, Hyung-Chul; Sung, Jae-Chul (2014年 8月 31日). “An Efficient New Format-Preserving Encryption Algorithm to encrypt the Personal Information” . 《Journal of the Korea Institute of Information Security and Cryptology》 24 (4): 753?763. doi : 10.13089/jkiisc.2014.24.4.753 . ISSN   1598-3986 .  
  5. Marsh, Sarah (2017年 5月 12日). “The NHS trusts hit by malware ? full list” . 2017年 5月 14日에 確認함 – The Guardian 經由.  
  6. “NHS cyber-attack: GPs and hospitals hit by ransomware” . 《BBC News》 (英國 英語). 2017年 5月 12日 . 2017年 5月 12日에 確認함 .  
  7. Hern, Alex; Gibbs, Samuel (2017年 5月 12日). “What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?” . 《The Guardian》 (英國 英語). ISSN   0261-3077 . 2017年 5月 12日에 確認함 .  
  8. “Statement on reported NHS cyber attack” . 《digital.nhs.uk》 (英國 英語) . 2017年 5月 12日에 確認함 .  
  9. Cox, Joseph (2017年 5月 12日). “A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World” . 《Motherboard》 (美國 英語) . 2017年 5月 12日에 確認함 .  
  10. Larson, Selena (2017年 5月 12日). “Massive ransomware attack hits 99 countries” . 《CNN》 . 2017年 5月 12日에 確認함 .  
  11. “Ransomware virus plagues 75k computers across 99 countries” . 《RT International》 (美國 英語) . 2017年 5月 12日에 確認함 .  
  12. Cameron, Dell. “Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It” . 2017年 5月 14日에 確認함 .  
  13. Surur (2017年 5月 13日). “Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003” . 2017年 5月 13日에 確認함 .  
  14. Solon, Olivia (2017年 5月 17日). “WannaCry ransomware has links to North Korea, cybersecurity experts say” . The Guardian . 2017年 5月 17日에 確認함 .  
  15. Menn, Joseph (2015年 2月 17日). “Russian researchers expose breakthrough U.S. spying program” . Reuters . 2015年 9月 24日에 原本 文書 에서 保存된 文書 . 2015年 11月 24日에 確認함 .  
  16. “NSA-leaking Shadow Brokers just dumped its most damaging release yet” . 《Ars Technica》 (美國 英語) . 2017年 4月 15日에 確認함 .  
  17. 황준호 (2017年 5月 13日). “랜섬웨어 擴散防止法 發見…"워나크라이 안 끝났다 " . 아시아經濟 . 2017年 5月 14日에 確認함 .  
  18. 이경은 (2017年 5月 14日). ' 윈도우' 脆弱點 노린 랜섬웨어 非常” . 블로터 . 2017年 5月 14日에 確認함 .  
  19. “Microsoft Security Bulletin MS17-010 ? Critical” . 《technet.microsoft.com》 . 2017年 5月 14日에 確認함 .  
  20. 권진국 (2017年 5月 13日). “워나크라이 램섬웨어 一旦 安定...킬 스위치 作動에 단돈 '1萬2000원 ' . 國際뉴스 . 2017年 5月 14日에 確認함 .  
  21. Shi, Yang; Guo, Lin; Wang, Shuxiang (2019年 12月). “Long Distance Commucation Technology of Deep sea Acoustic Release Transponder” . IEEE. doi : 10.1109/icsidp47821.2019.9173060 . ISBN   978-1-7281-2345-5 .  
  22. https://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=105&cid=1064087&iid=1203963&oid=277&aid=0003993697&ptype=052
  23. https://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=105&cid=1064087&iid=2098034&oid=001&aid=0009265804&ptype=052
  24. “WannaCry no Brasil e no mundo” . 《O Povo》 (포르투갈語). 2017年 5月 13日 . 2017年 5月 13日에 確認함 .  
  25. “Ontario health ministry on high alert amid global cyberattack ? Toronto Star” . 《thestar.com》.  
  26. “Bank of China ATMs Go Dark As Ransomware Attack Cripples China | Zero Hedge” . 《www.zerohedge.com》 (英語). 2017年 5月 13日 . 2017年 5月 14日에 確認함 .  
  27. “Global cyber attack: A look at some prominent victims” . 《elperiodico.com》 (스페인語). 2017年 5月 13日 . 2017年 5月 14日에 確認함 .  
  28. “Instituto Nacional de Salud, entre victimas de ciberataque mundial” . 2017年 5月 13日.  
  29. “France’s Renault hit in worldwide ‘ransomware’ cyber attack” . 《france24.com》 (스페인語). 2017年 5月 13日 . 2017年 5月 13日에 確認함 .  
  30. “Weltweite Cyberattacke trifft Computer der Deutschen Bahn” . 《faz.net》 (獨逸語). 2017年 5月 13日 . 2017年 5月 13日에 確認함 .  
  31. Balogh, Csaba (2017年 5月 12日). “Ideert a baj: Magyarorszagra is elert az oriasi kibertamadas” . 《Heti Vilaggazdasag》 (헝가리語) . 2017年 5月 13日에 確認함 .  
  32. “Andhra police computers hit by cyberattack” . 《Times of India》 (英語). 2017年 5月 13日 . 2017年 5月 13日에 確認함 .  
  33. “Il virus Wannacry arrivato a Milano: colpiti computer dell'universita Bicocca” . 《repubblica.it》 (이탈리아語). 2017年 5月 12日 . 2017年 5月 13日에 確認함 .  
  34. “Parkeerbedrijf Q-Park getroffen door ransomware-aanval” . 《Nu.nl》 (네덜란드語). 2017年 5月 13日 . 2017年 5月 14日에 確認함 .  
  35. “PT Portugal alvo de ataque informatico internacional” . 《Observador》 (포르투갈語). 2017年 5月 12日 . 2017年 5月 13日에 確認함 .  
  36. (루마니아語) “Atacul cibernetic global a afectat ?i Uzina Dacia de la Mioveni. Renault a anun?at c? a oprit produc?ia ?i in Fran?a” . 《Pro TV》. 2017年 5月 13日.  
  37. (루마니아語) “UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elit? care au falsificat o adres? NATO” . 《Libertatea》. 2017年 5月 12日.  
  38. “Massive cyber attack creates chaos around the world” . news.com.au . 2017年 5月 13日에 確認함 .  
  39. “Researcher 'accidentally' stops spread of unprecedented global cyberattack” . ABC 뉴스 . 2017年 5月 13日에 確認함 .  
  40. “Компьютеры РЖД подверглись хакерской атаке и заражены вирусом” . Radio Free Europe/Radio Liberty . 2017年 5月 13日에 確認함 .  
  41. “LATAM Airlines tambien esta alerta por ataque informatico” . Fayerwayer . 2017年 5月 13日에 確認함 .  
  42. “Un ataque informatico masivo con 'ransomware' afecta a medio mundo” . 《elperiodico.com》 (스페인語). 2017年 5月 12日 . 2017年 5月 13日에 確認함 .  
  43. “?????????????? Blade & Soul ??? Garena ???????????? WannaCrypt ?????” . 《blognone.com》 (泰國語). 2017年 5月 13日 . 2017年 5月 14日에 確認함 .  
  44. " Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France " . 《The Independent》 (英語). 2017年 5月 13日 . 2017年 5月 13日에 確認함 .  
  45. Marsh, Sarah (2017年 5月 12日). “The NHS trusts hit by malware ? full list” . 《 The Guardian 》. London . 2017年 5月 12日에 確認함 .  
  46. “What is Wannacry and how can it be stopped?” . 《Ft.com》 (英語). 2017年 5月 12日 . 2017年 5月 13日에 確認함 .  
  47. Amjad Shacker [AmjadShacker] (2017年 5月 14日). “??” (트윗).  
  48. https://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=105&cid=1064087&iid=2283181&oid=092&aid=0002116713&ptype=052
  49. https://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=105&cid=1064087&iid=2097913&oid=008&aid=0003872578&ptype=052
  50. CNN, Laura Smith-Spark, Milena Veselinovic and Hilary McGann. “UK prime minister: Ransomware attack is global” . 《CNN》 . 2017年 5月 13日에 確認함 .  
  51. “The ransomware attack is all about the insufficient funding of the NHS” . 《The Guardian》. 2017年 5月 13日 . 2017年 5月 14日에 確認함 .  
  52. “Jeremy Hunt 'ignored warning signs' before cyber-attack hit NHS” . 《The Guardian》. 2017年 5月 13日 . 2017年 5月 14日에 確認함 .  

外部 링크 [ 編輯 ]

元本 住所 " https://ko.wikipedia.org/w/index.php?title=워너크라이&oldid=36727414 "