지난 주말 전 세계를 강타한 워너크라이(WannaCry) 랜섬웨어 피해 사고가 속속 보고되고 있다. 워너크라이가 암호화하는 파일은 .HWP를 포함해 176개에 이르며, 한국어를 포함한 28개의 다국적 언어를 지원한다.
한국인터넷진흥원에 따르면 15일 오전 8시 35분 현재 국내 기업 랜섬웨어 관련 문의는 8건이며 그 중 5건의 신고가 접수됐다. 이노티움이 운영하는 한국랜섬웨어침해대응센터에 접수된 사고 사례는 제조공정 서버와 PC 감염으로 공장 일부 가동이 중단됐으며, 한 대기업의 워너크라이는 윈도우 운영체제의 공유 프로토콜 SMBv1 원격코드 실행 취약점 악용, PC와 서버로 전파되고 있으며, 네트워크 웜(network WORM) 기반 공격으로 인터넷 연결만으로도 감염된다. 워너크라이 혹은 워너크립트는 기존 파일명에 ‘.WNCRY’가 붙어‘파일명.jpg.WNCRY’와 같은 식으로 파일명을 변경한다.
한편 지난 주말 영국의 보안 전문가가 멀웨어테크블로그를 통해 워너크라이가 미등록된 특정 도메인과 연결돼 있다는 것을 확인하고 이 도메인을 구입·등록해 공격확산을 저지하고 있으나, 해커가 ‘킬 스위치’기능을 제거한 변종 웜이 재등장해 감염이 확산되고 있다. 현재 확인된 변종 워너크라이는 300개가 넘는다.
복호화 비용은 감염 후 3일 이내 300달러(약 34만원), 7일 이내 600달러(약 68만원)에 해당하는 비트코인이며, 복호화 불가능한 피해자는 6개월 이후 복호화를 지원한다고 명시해 놓고 있다.
공격 대상 OS는 MS 최신 업데이트가 진행되지 않은 윈도우 OS를 사용하는 PC로 ▲윈도우10, 8.1, RT 8.1 ▲서버: 윈도우 서버 2016, 2012 R2, 2008 R2 SP1 SP2 등이다.
워너크라이는 웜(WORM)형태로 확산되는 새로운 랜섬웨어로, MS 윈도우 SMB 서버용 보안 업데이트) 설치하지 않은 버전을 감염시키며, 이 취약점을 이용해 SMBv1 서버에 원격 코드를 실행, mssecsvc2.0라는 서비스를 만들고, 감염된 시스템 IP주소를 확인해 동일한 서브넷의 각 IP주소의 445포트 연결을 시도한다. 원격지 SMBv1서버에 연결 성공하면 MS17-010 취약점 이용, 웜과 같이 확산하는 역할을 수행한다.
워너크라이는 실행 시 네트워크에 공유된 이동식 저장장치를 포함한 디스크 드라이브를 확인해 파일을 RSA 2048비트로 암호화하고, cmd.exe/vssadmin.exe/WMIC.exe의 윈도우 명령어를 이용해액세스 권한 등을 모든 사용자에게 허용해 원활한 실행을 구현한다. SMB 프로토콜은 중개경로가 되고 그 경로를 이용해 실제 랜섬웨어 파일을 옮겨 감염되게 하는 형식은 기존 xtbl 랜섬웨어와는 다른 것으로 분석된다.
한편 한국랜섬웨어침해대응센터는 “워너크라이 대처를 위해 네트워크를 단절시킨 상태에서 SMB 설정을 변경하고, 서버와 PC의 데이터를 백업하며, 윈도우 보안패치와 백신 등 보안 프로그램을 업데이트 해야 한다”고 강조했다.
윈도우 보안 업데이트는 한국인터넷진흥원 보호나라(www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703)에서 지원한다.
