랜섬웨어 예방 ( 윈도우 7 / 윈도우 8 / 윈도우 10 )

현재 랜섬웨어가 유럽과 아시아 등 여러 국가에서 활개치고 있는데요, 우리나라의 경우 월요일이 고비라고 합니다. 

워너크라이(WANNACRY)란 이름으로 알려진 악성 랜섬 웨어는, 윈도우즈의 파일 공유에 사용되는 SMB 원격코드의 약점을 사용했다고합니다. 이번 랜섬웨어의 공격은 인터넷에 접속만 해도 감염된다고 합니다. 저도 랜섬웨어에 감염이 되어 D드라이브의 파일이 변조된 경우가 있었습니다. 이를 방지하여 자신의 소중한 파일을 보호하고 지키기위하여 우리는 어떤 예방책 및 치료를 해야할까요?

1. 랜섬웨어 예방을 위해 SMB 파일공유 지원 기능을 종료해야 합니다.

(랜섬웨어 예방 윈도우7 / 랜섬웨어 예방 윈도우 8 / 랜섬웨어 예방 윈도우 10)

2. 랜섬웨어의 예방을 위하여 지속적인 윈도우즈 업데이트를 해주셔야합니다.

- SMB 파일공유기능 종료 방법

윈도우 7 기준으로 작성하였습니다. 하지만 레지스트리 편집기로 설정하는 것이므로 다른OS (윈도우 8 / 윈도우 10) 등에서도 사용가능 할 겁니다. 

먼저 실행이나 파일검색기에서 REGEDIT를 입력하고 실행합니다. REGEDIT이 레지스트리 편집기입니다.

랜섬웨어를 예방하기 위해서는 레지스트리 편집이 필요합니다. 

랜섬웨어 윈도우7 / 랜섬웨어 윈도우 8 / 랜섬웨어 윈도우 10  다 가능한 방법입니다.

그리고 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters 경로로 진입해줍니다.

폴더를 클릭해주면 SMB설정이 가능한 옵션이 있습니다. 하지만 없는 경우도 있습니다. 이는 따로 예방해주지 않아도 괜찮습니다. 아래사진처럼 SMB1,2 가 존재할경우에는 1이라고 되있는것을 0으로 바꿔주면 됩니다.

사진속 SMB1과 SMB2를 더블클릭 한 후 0 값을 0으로 바꿔줍니다.

0으로 변경이 완료되었을 경우 확인 버튼을 눌러줍니다. 그리고 적용이 되었는지의 확인은 사진속의 빨간 네모를 보시면

0X00000000 (0) 이라고 되있는데 이것이 1로 되있으면 SMB기능이 켜져있어 랜섬웨어에 노출될 가능성이 있고, 0일경우 SMB기능의 동작을 종료한 것입니다.

이번 랜섬 웨어는, 윈도우즈의 파일 공유에 사용되는 SMB 원격코드의 약점을 사용했다고합니다. 그러므로 SMB기능의 동작을 종료하면 완벽하게 차단되는것입니다.