16일 해외 외신 '가디언'지에 따르면, 구글의 닐 메타 연구원이 랜섬웨어를 분석해보니 북한과 연계된 해커그룹 '라자루스'가 사용한 코드를 발견했다.  IT 전문 매체 '아르스 테크니카'는 구글연구원 메타는 라자루스의 백도어의 2015년 초 버전과 랜섬웨어 워너크라이의 샘플에서 같은 코드가 발견했다고 전했다


백도어는 사용자 인증을 거치지 않거나, 무력화 시켜서 시스템에 접근이 가능한 보안상의 헛점으로 뒷문으로 들어갈 수 있는 구멍이라는 의미이다.    



[가디언 원문주소: https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group ]  





다시말해, 구글 연구원 메타는 사용자 시스템에 침투하는 부분의 랜섬웨어의 코드가 북한과 연관된 해커그룹 라자루스가 사용하는 코드와 같다는 것을 발견한 것이다. 


워나크라이 랜섬웨어는 12일 부터 전세계 150개국의 30만대의 컴퓨터를 감염시켰다. 


라자루스는 2011년 부터 사이버 범죄활동을 시작한 것으로 추정되는 단체이다.  지난 2014년에 김정은 암살을 다룬 영화로 화제를 모은 소니픽처스를 해킹한 것으로 의심받고 있으며, 이 때문에 라자루스의 배후에 북한이 있다고 추정하고 있다.  지난해 2월에는 방글라데시 중앙은행을 공격하여 한화 약 900억원 이상을 강탈한 바 있다. 





[랜섬웨어 워나크라이 피해화면]




북한 배후설을 더 의심하게 하는 정황은 워나크라이 랜섬웨어에 자폭장치인 '킬스위치'가 내장되어 있다는 점이다.  보통 킬스위치는 돈벌이를 목적으로하는 악성프로그램에서는 매우 드문 경우이기 때문이다. 북한과 같이 국가가 해커를 지원하는 경우에 '킬스위치'가 일반적으로 사용된다.  북한이 자주 사용하는 해킹 수법이라고 할 수 있으며, 외화벌이 수단으로 대규모 랜섬웨어 공격을 감행했을 가능성도 있다. 


 다행히 한 영국인이 이 '킬스위치'를 우연히 발견하여 랜섬웨어의 급격한 확산을 막을 수 있었다고 한다. 




한편, 미국 국토안보보좌관 톰 보서트는 현재까지 미화 약 7만달러가 해커들에게 지급되었으며, 돈을 지불한 후에 자료가 복구된 사례는 발견되지 않았다고 말했다. 






<랜섬웨어 대응 및 예방 요령>


첫번째로 유선 또는 와이파이를 통한 무선 인터넷을 일단 차단한 수 컴퓨터를 켜는 게 좋습니다.  그런 다음 각종 파일공유(SMB, 아래참조)를 차단하고, 인터넷에 연결하여 윈도우와 백신소프트웨어를 최신버젼으로 업데이트 해야 합니다. 




1. 맥이나 아이맥은?

  이번 랜셈웨어 워나크라이는 윈도우의 취약점을 노린 악성프로그램으로 맥북이나, 아이맥에서 피해는 보고되지 않고 있다. 다만, 맥이나 아이맥을 타깃으로한 랜섬웨어가 이전에 나온바 있어 향후 변종 출현의 가능성은 배제할 수 없다. 




2. 윈도우 10, xp 등 운영체제별 SMB 차단방법 사이트 안내


Windows XP & Windows Server 2003 : http://naver.me/I5eQDhRX
- Windows Vista : http://naver.me/5TgZrszb
- Windows 7 : http://naver.me/xUlzV2Vq
- Windows 8.1 : http://naver.me/FfKCInGi
- Windows 10 : http://naver.me/FzPdYu5E
- Windows Server 2008 : http://naver.me/xahwc4j8
- Windows Server 2008 R2 : http://naver.me/xxPyvQ18
- Windows Server 2012 / 2012 R2 / 2016 : http://naver.me/IDMWvXr6




3. 윈도우 버전별 보안 업데이트 파일 링크


Windows XP SP2(64비트 시스템용)
Windows XP SP3 (32비트 시스템용)
Windows XP Embedded SP3(32비트 시스템용)
Windows 8(32비트 시스템용)
Windows 8(64비트 시스템용)
Windows 8.1(32비트 시스템용)
Windows 8.1(64비트 시스템용)
WindowsVista 서비스팩2 
WindowsVista(64비트 시스템용) 서비스팩2 
Windows 7(32비트 시스템용) 서비스팩 1
Windows 7(64비트 시스템용) 서비스팩 1
Windows 10(32비트 시스템용)
Windows 10(64비트 시스템용)
Windows 10 버전 1511(32비트 시스템용)
Windows 10 버전 1511(64비트 시스템용)
Windows 10 버전 1607(32비트 시스템용)
Windows 10 버전 1607(64비트 시스템용)
Windows Server 2003 SP2(32비트 시스템용)
Windows Server 2003 SP2(64비트 시스템용)
Windows Server 2008 R2(64비트 시스템용) 서비스팩 1
Windows Server 2008 R2(Itanium 기반 시스템용) 서비스팩 1
Windows Server 2008(32비트 시스템용) 서비스팩 2
Windows Server 2008(64비트 시스템용) 서비스팩 2
Windows Server 2008(Itanium 기반 시스템용) 서비스팩 2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016(64비트 시스템용)

 





 알약 워나크라이 랜섬웨어 조치툴 및 백신 다운로드 주소










Posted by 샤르딘
,