IT & Security/윈도우

일부 랜섬웨어 예방을 위해 js,wsf,vbs파일의 WSH 실행차단

la Nube 2017. 7. 3. 18:37
반응형

안녕하세요. 라 누베입니다.


스크립트 파일과 관련된 랜섬웨어, 특히 Locky 랜섬웨어와 관련하여

js, wsf, vbs 파일의 윈도 스크립트 호스트(WSH) 실행을 아예 막아버리는 방법을 적어봅니다.


이것은 안랩의 보안 이슈를 통해 이미 공개된 방법이기도 합니다.

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=25368


레지스트리를 살짝 조작하는 것으로 WSH 실행을 아예 막아버려 스크립트 파일이 바보(?)가 됩니다.

스크립트 파일을 직접 실행하면 아래와 같이 WSH로 엑세스할 수 없다는 메시지가 나오면서 꺼집니다.



-


레지스트리 편집기를 열고 해당 경로를 찾아 다음의 내용을 만들어 추가하면 됩니다.


HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows Script Host → Settings


"Enabled"="0"

"IgnoreUserSettings"="1"


원래대로 돌리고 싶다면 위 두 가지를 삭제하면 됩니다.


이 방법은 js, wsf, vbs 파일을 직접 실행할 수 없게 만듭니다.

위 세 가지 파일을 직접 실행할 일이 없는 일반 사용자에게는 유용한 방법이라고 생각합니다.


-


레지스트리 건드리기 귀찮은 분들을 위해 파일로 만들어 올려봅니다. 다운 받아 실행하면 됩니다.

첨부파일의 내용은 다음과 같습니다. 메모장으로 열면 확인할 수 있습니다.


레지스트리 - 일부 랜섬웨어 예방을 위해 js,wsf,vbs파일의 WSH 실행차단.reg


Windows Registry Editor Version 5.00


; Created by la Nube

; Source from http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=25368


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]

"Enabled"="0"

"IgnoreUserSettings"="1"


감사합니다. 많은 도움이 되었으면 좋겠습니다.


-


(주의)

1. js, wsf, vbs 파일을 반드시 직접 실행해야 하는 경우 이 방법을 사용해서는 안 됩니다.

2. 이 방법은 스크립트를 이용하는 일부 랜섬웨어의 예방에만 유효합니다.

3. 이 방법을 적용하면 스크립트를 이용하는 랜섬웨어 파일을 테스트할 수 없습니다.


-


(참고)

안랩에 따르면, "프로그래머가 아닌 일반 사용자라면, 또 프로그래밍 업무를 위한 PC가 아니라면 js 또는 vbs와 같은 스크립트 파일을 직접 실행해야 하는 경우는 거의 없다. 무엇보다 웹사이트 로딩에 필요한 js 파일이나 MS 오피스 파일과 관련된 매크로 파일은 WSH를 통해 실행되는 것이 아니기 때문에 WSH를 비활성화하더라도 일상적인 PC 사용이나 일상 업무 처리에는 지장이 없다." 라고 합니다.


--


http://cafe.naver.com/malzero/129470

반응형