2017년 5월 14일 일요일

윈도우 7에서 WannaCry 랜섬웨어 방어법 (Disable SMB v1.0 in Windows 7 for protecting attack from WannaCry ransomeware)



WannaCry 랜섬웨어때문에 난리들이 나서 어떻게 하면 되는가 기사들이 많이 나오고 있는데 전혀 현실적이지 못하게 윈도우 8.1 이상 기준의 방법을 소개하고 있다.

 랜섬웨어 피해 대응법 : 컴퓨터 켜기 전에 인터넷 선부터 뽑아라

사실 국내에서 윈도우 8 계열을 쓰는 사람은 진짜 손으로 꼽을테고 그나마 윈도우 10 아니면 7인데 실질적으로 대다수는 7이라고 본다.  저런 기사에 보면 제어판의 'Windows 기능 켜기/끄기'로 가서 'SMB 1.0/CIFS 파일 공유 지원' 기능을 끄면 된다고 하는데 윈도우 7에서는 그 메뉴로 가 봐도 저 항목이 아예 안 보인다.

해결책은 우선 윈도우 시작메뉴를 누른 다음 '보조프로그램'->'명령 프롬프트'로 간다.


명령 프롬프트를관리자권한으로실행해야하므로마우스오른쪽버튼을클릭해서 메뉴가 나오면 '관리자 권하으로 실행'을 선택해서 클릭한다.


명령 프롬프트를 관리자 권한으로 실행할건지 물어보면 '예'를 선택해준다.


명령 프롬프트 창이 열리면 아래와 같이 정확하게 입력해준다. 주의할 점은 'depend=', 'start=' 뒤에 꼭 한 칸을 띄고 입력해야 한다는 것이다.

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled


위와 같이 두 명령 다 '[SC] ChangeServiceConfig 성공'이라는 메시지가 나오면 이제 윈도우를 재시동하면 된다.

이번 랜섬웨어는 SMB v1.0의 취약점을 이용한 공격이기 때문에 SMB v1.0만 비활성화 시켜주면 기본적으로 이번 랜섬웨어의 공격은 막아낼 수 있지만 그래도 안전하게 기사에 있는 것 처럼 MS가 제공하는 패치도 설치해주면 된다.

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598







댓글 4개:

  1. 다시 되돌리는 방법은 없나요? 회사 네트워크가 막혀버리네요...

    답글삭제
    답글
    1. 다시 smb 1.0을 활성화 시키면 되긴 하지만 1.0을 막았다고 회사 네트웍이 안된다면 그 회사 네트웍은 smb 1.0을 사용하고 있다는 소리인데 그럼 정말 위험한 상황입니다. 아마도 회사 서버가 Windows Server 2008 또는 2012인거 같은데 관리자한테 이 링크 보고 서버도 다 smb 1.0을 막고 2.0/3.0을 사용하도록 만드시는게 맞는거 같습니다.

      https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

      삭제
    2. 회사 서버라기 보다는 NAS에 접속이 안되고 있어서요 별도 서버는 없습니다

      삭제