상세 컨텐츠

본문 제목

랜섬웨어, 알아서 척척척! 스스로 지우자!

안전한 PC&모바일 세상/PC&모바일 TIP

by 알약(Alyac) 2016. 4. 27. 09:37

본문

랜섬웨어, 알아서 척척척! 스스로 지우자!


최근 몇 년간 보안업계의 핫이슈 중 빼놓을 수 없는 것이 ‘랜섬웨어(Ransomware)’입니다. 이미 많이 알고 계시겠지만 랜섬웨어는 문서, 사진, mp3파일 등 사용자의 자료를 암호화하여 그것을 인질로 금품을 요구하는 악독한 악성코드 종류입니다. 


또한, 이미 감염되어 파일이 암호화되었다면 그것을 복구하는 방법이 굉장히 제한적이기 때문에 따로 백업해놓지 않았다면 사실상 자료를 회복하기도 어렵다고 볼 수 있습니다.


사이버 위협 정보 공유 시스템인 「CTA(Cyber Threat Alliance)」의 조사에 의하면, ‘CryptoWall 3.0’ 랜섬웨어가 총 3억 2,500만 달러에 달하는 수익을 올렸다고 합니다. 랜섬웨어 종류 하나가 이 정도의 규모라면 전체 랜섬웨어 시장은 얼마나 엄청난 규모일까요? 신종/변종 랜섬웨어가 지속해서 출현하고, 더욱 지능화되는 것이 그 규모에 대한 방증으로 볼 수 있을 것 같습니다.


랜섬웨어에 감염되면 대부분의 사용자가 선택할 수 있는 방법은 두 가지입니다. 이미 사용 중인 백신으로 처리 또는 윈도우의 재설치입니다. 하지만 어떠한 백신도 완전한 만병통치약은 될 수 없기 때문에 미흡한 부분이 존재할 수 있고, 윈도우를 재설치하는 것은 시간과 노력이 필요한 번거로운 작업입니다. 


그래서 알약맨은 이번 포스팅에서 사용자 여러분께서 간편하게 PC의 랜섬웨어 존재여부를 스스로 확인하여 제거할 수 있는 방법을 알려드리려고 합니다. 알려드리는 방법은 암호화 된 파일을 복호화 하는 방법과는 무관하오니 꼭 참고해 주시기 바랍니다.


* 아래 내용을 진행하기 전, 반드시 사용중인 백신 엔진을 최신버전으로 업데이트 해주시고 정밀 검사를 진행해 주시기 바랍니다. 

* 'Tesla Crypt'를 기준으로 작성되었으며, 일부 랜섬웨어의 경우 방법에 다소 차이가 있을 수 있습니다.

* 아래 내용을 잘못 따라하시면 컴퓨터 동작에 이상이 생길수도 있으니 반드시 최소 2회 이상 정독해 주시고, PC 사용이 미숙하신 분들은 반드시 숙련자와 함께 진행해 주시기 바랍니다. 


랜섬웨어 숙주파일 찾는 Knowhow!


1. 랜섬웨어가 즐겨 사용하는 주요 경로를 숙지합니다. 


-  C:\Users\(사용자)\Documents        

-  C:\Users\(사용자)\AppData\Roaming

-  C:\Users\(사용자)\AppData\Roaming\{FEE79AF2-85B9-EB76-BA95-0400027182A5} / { }안은 랜덤


2. 레지스트리명 또는 파일명이 영문랜덤, 영문숫자조합의 랜덤이거나 하이픈(-), 플러스(+)가 있을 경우 악성일 가능성이 높습니다. (*최근 기승을 부리고 있는 ‘cerber’의 경우는 정상적인 표현을 사용하기도 합니다)


예) 

레지스트리명 : ZPO1-wsobvx / aroinics_svc / +++mkys / hostslertemlfxs / grpconv / RunLegacyCPLElevated (cerber)


파일명 : C:\Windows\amakhrys.exe               

           C:\Users\Administrator\Documents\poyuvg.exe

           C:\Users\(사용자)\AppData\Roaming\ffrgphe45.exe

           C:\Users\(사용자)\AppData\Roaming\{195A5654-CD64-5FCB-AC11-2BC8E91CCDA4}\grpconv.exe (cerber)


3.  위에서 확인한 의심파일을 바이러스토탈에 올려 세계 유수 백신들의 탐지여부를 확인합니다.


1) [파일 선택] 클릭 후 의심파일을 열고, [검사 시작!] 버튼을 클릭합니다.




2) 백신들이 현재 해당 파일을 악성으로 탐지하고 있는지 확인합니다.

탐지비율이 높을수록 악성일 가능성이 높습니다. )





4.  그래도 확신이 필요하다면, <알약> 프로그램 우측 상단 [MENU] → [신고하기]를 통해 해당 의심파일을 첨부하여 악성여부를 문의해 주시기 바랍니다.



랜섬웨어 자가점검방법


1. PC의 파워를 켰을 때부터 키보드의 ‘F8키’를 반복적으로 누르면 부팅 메뉴가 나오는데, 여기서 [안전 모드(Safe Mode)]를 선택하여 윈도우 부팅을 진행합니다.     


안전모드 부팅 방법 자세히보기 




2. 부팅이 완료되면 키보드의 ‘윈도우 키’와 ‘R’키를 동시에 눌러 [실행] 창을 띄우고, “regedit”을 입력하여 레지스트리 편집기를 실행합니다.




3. 시작프로그램 레지스트리 경로 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]로 이동합니다. 

(대부분의 랜섬웨어는 부팅 시마다 금품요구 알림창을 띄우기 때문에 시작프로그램에 등록되어 있을 가능성이 높습니다)



4. 시작프로그램 경로에 존재하는 감염항목을 더블 클릭하여 숙주파일의 위치를 확인 후 모두 제거합니다.




5. 윈도우 탐색기를 실행하여 4번에서 확인한 숙주파일의 위치로 이동하고, 항목을 완전제거[Shift+del]하고 PC를 [표준모드]로 재부팅하여 금품요구 알림창 생성여부를 확인합니다. 

(금품요구창이 뜨지 않는다면 랜섬웨어 숙주파일이 정상적으로 제거된 것입니다)

  



※ 레지스트리 제거하지 않고 랜섬웨어 숙주파일만 제거할 경우, 부팅 시마다 아래와 같은 오류가 발생하기 때문에 반드시 랜섬웨어 숙주파일과 관련 레지스트리를 함께 점검하시기 바랍니다.



랜섬웨어로 인해 생성된 잔여파일 제거



위 절차대로 진행하여 숙주파일은 제거하였지만 랜섬웨어 감염으로 인해 생성된 불필요한 잔여파일은 여전히 PC에 남아있고, 이 파일들은 드라이브 내 대부분의 폴더에 생성되어 있기 때문에 일일이 제거하는 데는 시간이 굉장히 많이 소요됩니다. 이때, 아래 방법을 사용하면 간편하고 빠른 시간에 잔여파일을 정리할 수 있습니다.


1. 아래 사이트에서 파일검색 프로그램인 ‘Everything’을 다운로드 합니다.


▶ 제작사 홈페이지

Everything 다운로드


2. ‘Everything’을 실행하고 바탕화면에 생성된 잔여파일의 파일명을 입력합니다.   

예) -!RecOveR!-cgwmk++



3. 검색결과값을 전체선택하고 완전제거[Shift+del] 후 PC를 재부팅하고 잔여파일의 존재여부를 확인합니다.




지금까지 설명해드린 방법은 백신 프로그램으로 해결되지 않은 미비점을 보완하기 위한 내용이며, 사용하는 백신 프로그램을 항상 최신 버전으로 유지 및 [실시간 감시] ‘ON’으로 설정하고 정기적으로 정밀검사를 진행하는 것을 반드시 선행해야 합니다. 그 밖에 랜섬웨어 감염을 예방하기 위한 아래 추가 점검사항도 확인하여 소중한 자료를 안전하게 지키시기 바랍니다. 



랜섬웨어 예방방법


1. Windows, 웹 브라우저, Adobe, Office 등 주요 SW의 취약점을 공격하기 때문에 항상 최신 버전으로 유지합니다.


(1) Windows 및 Office ‘자동 업데이트’ 설정

[시작] → [제어판] → [Windows Update] → [설정 변경] → [중요 업데이트(I)] ‘업데이트 자동 설치(권장)’ 선택



(2) Adobe Flash ‘자동 업데이트’ 설정 

[시작] → [제어판] → [Flash Player] → [업데이트] ‘Adobe가 업데이트를 설치하도록 허용(권장)’ 선택



(3) Java ‘자동 업데이트’ 설정    
[시작] → [제어판] → [Java] → [업데이트] “자동 업데이트 확인” 체크 및 “지금 업데이트(U)” 적용


2. 출처가 불분명한 메일의 링크나 첨부파일에 대한 접근을 절대 지양하고, 지인에게 받은 메일이라도 조금이라도 의구심이 든다면 발송자에게 진위여부를 확인 후 접근해야 합니다.




3. 검증되지 않은 웹 사이트 또는 블로그나 커뮤니티를 통한 파일의 다운로드를 지양하고, 개발사 홈페이지와 같은 공식적인 경로를 통해 입수한 파일 사용을 권장합니다.





4. 랜섬웨어에 감염되어 암호화된 자료는 복구하기가 사실상 어렵기 때문에 중요한 자료는 USB, 외장하드 등 이동식 디스크에 주기적으로 백업하여 따로 보관해두는 습관이 필요합니다.


5. 위 내용들을 스스로 점검하는데 애로사항이 있다면, 랜섬웨어 의심 행위를 차단하여 사용자의 파일이 암호화되는 것을 방지하는 <알약>의 ‘랜섬웨어 차단기능’을 활용하시기 바랍니다.


<알약> 프로그램의 우측 상단 [환경설정] → [검사_고급설정] → [랜섬웨어 차단 사용] “ON”으로 설정






관련글 더보기

댓글 영역