랜섬웨어

원격데스크톱을 이용한 타겟형 랜섬웨어

1,132    2016-08-12


개요  

원격 데스크톱으로 시스템에 접속하여 수동으로 랜섬웨어를 감염시키고 가격을 협상하는 타깃형 랜섬웨어에 대해 안내드리고자 합니다.



동작 방식 




피해 범위

감염경로가 다각화되고 있으며, 공격자가 시스템을 확인 후 중요도에 따라 요구하는 비트코인이 달라짐



대응 방안  

1. 원격 데스크톱 비활성화

 

제어판 ▷ 시스템 ▷ 원격 설정 ▷​ 원격 Tab 이동 ▷ "이 컴퓨터에 대한 원격 연결 허용 안 함" 설정


2. RDP (원격 데스크톱) 포트 변경  

· 프로그램 및 파일 검색 창에 regedit 실행 (레지스트리 편집기)

HKEY_LOCAL_MACHINE₩SYSTEM₩CurrentControlSet₩Control₩Terminal Server₩WinStations₩RDP-Tcp  경로 이동

· PortNumber 값을 기본 포트 0x00000d3d (3389)에서 다른 값으로 변경

· HKEY_LOCAL_MACHINE₩SYSTEM₩CurrentControlSet₩Control₩Terminal Server₩Wds₩rdpwd\Tds\tcp 경로 이동

· PortNumber 값을 RDP-Tcp에서 변경한 값과 동일하게 변경

· 제어판 ▷ 시스템 및 보안 ▷ Windows 방화벽으로 이동

· 고급 설정에서 인바운드 규칙에 변경한 값으로 새 규칙 (TCP) 추가


3. IP 접근 제한 설정(허용된 사용자만 접근)  

· Windows 방화벽에서 새로 추가한 규칙의 속성에서 영역 탭으로 이동

· "원격 IP 주소" 항목에서 접근을 허용할 IP 추가


4. 비밀번호 암호 강화  

· 대/소문자 및 특수문자 포함하여 어렵게 설정



댓글 : 0