윈도우서버의 공유폴더가 랜섬웨어에 감염 > 에필로그

D드라이브에 있은 공유폴더 안 파일들이 였다.

우선 감염된 파일을 복구할 수는 없어 원인 파악과 이에 따른 조치만 했다.

점검

Guest가 사용으로 돼 있음

Everyone이 공유폴더에 모든 권한이 있음

특정 컴퓨터로부터의 로그인, 로그오프가 과도하게 많음(보안 로그의 전체를 차지, 자동으로 지워진 것을 감안하면 더욱 많았을 터)

운영체제와 프로그램의 파일들은 정상

윈도우 방화벽 사용 안함

백신없음

원인

특정 컴퓨터가 서버의 공유폴더를 Guest로 로그인하여 랜섬웨어를 실행함

사내에서 이용하는 프로그램이 공유폴더에 이미지와 문서 등을 저장하는데 Guest 계정을 사용하도록 돼 있었음

조치

1. 랜섬웨어 경유 컴퓨터의 전원을 끔
2. 공유폴더를 백업 후 삭제
3. 서버 및 사내 컴퓨터에서 Guest를 사용하지 않음으로 변경
4. 사내 컴퓨터 모두 개별 로그인 사용자와 복잡한 암호를 설정
5. 서버에서 컴퓨터들의 개별 로그인 사용자를 생성(암호는 컴퓨터에 설정했던 것과 같게)하고 특정 그룹으로 소속시킴(사용자 소속에서 Users그룹 제거)
6. 공유폴더 새로 생성, 보안에서 Users그룹 제거, 공유에서 Everyone 제거, 사용자가 소속된 그룹을 등록하고 읽기, 쓰기 권한만 부여
7. 윈도우 방화벽 설정 및 백신 설치

기타

백업한 파일들은 해당 랜섬웨어 복호툴이 나올 수 있으니 당분간 보관하도록 함

랜섬웨어 경유가 됐던 컴퓨터는 포맷하라고 함