특히 스페인 통신회사인 텔레포니카(Telefonica)와 영국 전역의 병원이 피해자가 됐다. 가디언에 따르면, 영국의 공격은 최소 16개의 NHS(National Health System) 시설을 공격했으며 환자 안전을 보장하는 데 사용되는 정보 기술(IT) 시스템을 직접적으로 손상시켰습니다.
추천 동영상
어베스트
WanaCryptOR(WCry) 랜섬웨어는 Windows Server Message Block 프로토콜에서 식별되어 패치된 취약점을 기반으로 합니다. Microsoft의 2017년 3월 패치 화요일 보안 업데이트, Kaspersky Labs 보고. WCry의 첫 번째 버전은 2월에 확인되었으며 이후 28개 언어로 번역되었습니다.
마이크로소프트가 응답했다 자체 Windows 보안 블로그 게시물을 통해 공격에 대해 현재 최신 보안 패치를 실행하는 지원되는 Windows PC가 맬웨어로부터 안전하다는 메시지를 강화했습니다. 또한 Windows Defender는 이미 실시간 보호 기능을 제공하도록 업데이트되었습니다.
마이크로소프트는 “2017년 5월 12일 이전에 수정된 취약점을 활용해 웜처럼 확산되는 새로운 랜섬웨어를 발견했다”고 공격 요약을 시작했다. “보안 업데이트는 대부분의 컴퓨터에 자동으로 적용되지만 일부 사용자와 기업에서는 패치 배포가 지연될 수 있습니다. 안타깝게도 WannaCrypt로 알려진 악성 코드는 이러한 취약점에 대한 패치를 적용하지 않은 컴퓨터에 영향을 미친 것으로 보입니다. 공격이 진행되는 동안 아직 MS17-010을 설치하지 않은 경우 사용자에게 MS17-010을 설치하도록 상기시킵니다.”
성명서는 다음과 같이 이어졌습니다. “Microsoft 맬웨어 방지 원격 측정은 즉시 이 캠페인의 징후를 포착했습니다. 우리의 전문가 시스템은 이 새로운 공격이 발생했을 때 이에 대한 가시성과 컨텍스트를 제공하여 Windows Defender Antivirus가 실시간 방어를 제공할 수 있도록 했습니다. 자동화된 분석, 머신러닝, 예측 모델링을 통해 우리는 이 악성코드로부터 신속하게 보호할 수 있었습니다.”
Avast는 또한 NSA와 연계된 것으로 의심되는 Equation Group에서 자신을 ShadowBrokers라고 부르는 해커 그룹에 의해 기본 익스플로잇이 도난당했다고 추측했습니다. 이 익스플로잇은 ETERNALBLUE로 알려져 있으며 Microsoft에서는 MS17-010으로 명명했습니다.
악성코드가 공격을 받으면 영향을 받는 파일의 이름을 변경하여 ".WNCRY" 확장자를 포함하고 "WANACRY!"를 추가합니다. 각 파일의 시작 부분에 마커가 있습니다. 또한 랜섬노트를 피해자 컴퓨터의 텍스트 파일에 저장합니다.
어베스트
그런 다음 랜섬웨어는 비트코인 통화로 300~600달러를 요구하는 몸값 메시지를 표시하고 지불 방법에 대한 지침을 제공한 다음 암호화된 파일을 복구합니다. 몸값 지침의 언어는 이상하게 캐주얼하며 온라인으로 제품을 구매하라는 제안에서 읽을 수 있는 것과 유사해 보입니다. 실제로 사용자는 몸값을 두 배로 늘리기 전에 3일 동안 지불해야 하며, 파일을 더 이상 복구할 수 없게 되기 전에 7일 동안 지불해야 합니다.
어베스트
흥미롭게도 랜섬웨어 코드에 하드 코딩된 웹 도메인을 등록하는 것만으로 "우연한 영웅"에 의해 공격이 느려지거나 잠재적으로 중단될 수 있었습니다. 해당 도메인이 맬웨어의 요청에 응답하면 새로운 시스템 감염을 중단하여 사이버 범죄자가 공격을 차단하는 데 사용할 수 있는 일종의 "킬 스위치" 역할을 합니다.
처럼 가디언은 다음과 같이 지적한다.맬웨어테크(MalwareTech)로만 알려진 연구원은 도메인을 10.69달러에 등록했는데, 킬 스위치 당시에는 “나도 나갔었다”고 말했다. 친구와 점심을 먹고 오후 3시쯤 돌아왔습니다. NHS와 영국의 다양한 조직에 관한 뉴스 기사가 쇄도하는 것을 보았습니다. 때리다. 그 내용을 조금 살펴본 뒤 그 뒤에 있는 악성 코드 샘플을 발견했고, 등록되지 않은 특정 도메인에 연결하고 있는 것을 확인했습니다. 그래서 당시에는 무슨 일이 일어났는지 모르고 집어들었습니다.”
MalwareTech는 봇넷을 추적하는 회사를 대신하여 도메인을 등록했으며 처음에는 공격을 시작한 혐의로 기소되었습니다. “처음에는 누군가가 도메인 등록으로 인해 감염이 발생했다고 잘못된 방법으로 보고했기 때문에 실제로는 그 반대라는 사실을 깨닫고 우리가 이를 중단하기 전까지는 소소한 소름끼치는 일이었습니다.”라고 MalwareTech는 The에 말했습니다. 보호자.
그러나 공격자가 킬 스위치를 생략하도록 코드를 변경할 수 있으므로 공격이 끝나지는 않을 것입니다. 유일한 실제 해결 방법은 컴퓨터가 완전히 패치되고 올바른 맬웨어 방지 소프트웨어가 실행되고 있는지 확인하는 것입니다. Windows 시스템이 이 특정 공격의 대상이기는 하지만, MacOS는 자체 취약점을 입증했습니다. 따라서 Apple OS 사용자도 적절한 조치를 취해야 합니다.
훨씬 더 좋은 소식은 사용자가 데이터를 복구할 수 있도록 일부 시스템에서 랜섬웨어가 사용하는 암호화 키를 확인할 수 있는 새로운 도구가 있다는 것입니다. Wanakiwi라는 새로운 도구는 다른 도구와 유사합니다. 워너키, 그러나 더 간단한 인터페이스를 제공하고 더 많은 Windows 버전을 실행하는 컴퓨터를 잠재적으로 수정할 수 있습니다. 처럼 아스테크니카 보고서, Wanakiwi는 기본적으로 암호화 키 생성에 사용된 소수를 복구하기 위해 몇 가지 트릭을 사용합니다. 램 감염된 시스템이 켜져 있고 데이터가 아직 덮어쓰여지지 않은 경우. Wanawiki는 WannaCry 및 기타 다양한 애플리케이션에서 암호화 키를 생성하는 데 사용되는 Microsoft 암호화 애플리케이션 프로그래밍 인터페이스의 일부 "단점"을 활용합니다.
Wanakiwi 개발을 도운 Benjamin Delpy에 따르면, 이 도구는 암호화된 하드 드라이브가 있는 여러 컴퓨터에서 테스트되었으며 그 중 여러 대의 암호 해독에 성공했습니다. 테스트된 버전에는 Windows Server 2003과 Windows 7이 포함되었으며 Delpy는 Wanakiwi가 다른 버전에서도 작동할 것이라고 가정합니다. Delpy의 표현대로 사용자는 “Wanakiwi를 다운로드하기만 하면 되며, 키를 다시 생성할 수 있으면 키를 추출하여 재구성하고(좋은 키) 디스크에 있는 모든 파일의 암호 해독을 시작합니다. 보너스로, 제가 얻은 키는 악성코드 해독기와 함께 사용하여 마치 돈을 지불한 것처럼 파일을 해독할 수 있습니다.”
단점은 감염된 PC를 다시 시작했거나 소수가 들어 있는 메모리 공간을 이미 덮어쓴 경우 Wanakiwi와 Wannakey가 모두 작동하지 않는다는 것입니다. 따라서 이는 확실히 다운로드하여 준비 상태로 유지해야 하는 도구입니다. 마음의 평화를 더하기 위해 보안 회사인 Comae Technologies가 Wanakiwi의 개발 및 테스트를 지원했으며 그 효과를 확인할 수 있다는 점에 유의해야 합니다.
당신은 할 수 있습니다 여기에서 와나키위를 다운로드하세요. 응용 프로그램의 압축을 풀고 실행하면 Windows 10에서 해당 응용 프로그램이 알 수 없는 프로그램이라는 메시지가 표시되며 실행을 허용하려면 "추가 정보"를 눌러야 합니다.
마크 코폭/디지털 트렌드
랜섬웨어는 최악의 악성 프로그램 중 하나입니다. 랜섬웨어는 정보를 공격하고 잠금을 해제하기 위한 키를 대가로 공격자에게 돈을 지불하지 않는 한 강력한 암호화로 정보를 잠가둡니다. 랜섬웨어에는 PC를 얼굴 없는 봇으로 바꾸는 무작위 맬웨어 공격과 다른 개인적인 점이 있습니다.
WCry로부터 보호하는 가장 좋은 방법은 Windows PC가 최신 업데이트로 완전히 패치되었는지 확인하는 것입니다. Microsoft의 화요일 패치 일정을 따르고 최소한 Windows Defender를 실행하고 있다면 컴퓨터가 이미 보호됨 — 그러한 공격으로 접근할 수 없는 가장 중요한 파일의 오프라인 백업을 보유하는 것은 중요한 단계입니다. 가져가다. 앞으로는 아직 패치가 적용되지 않은 수천 대의 시스템이 이 특정 광범위한 공격으로 인해 계속해서 고통을 받게 될 것입니다.
Mark Coppock이 2017년 5월 19일에 업데이트했습니다. Wanakiwi 도구에 대한 정보가 추가되었습니다.
편집자의 추천
- 랜섬웨어 공격이 엄청나게 급증했습니다. 안전을 유지하는 방법은 다음과 같습니다.
- 해커들은 이전 피해자를 공격하는 랜섬웨어로 득점하고 있습니다.
