본문 바로가기
보안/게시글

랜섬웨어 감염 및 대처하는 방법

by 우모자보호령 2020. 3. 6.

랜섬웨어 이란

랜섬웨어는 일반적으로 트로이목마(trojan horse)와 같은 웜바이러스(worm) 형태로 네트워크 취약점이나 다운로드된 파일을 통해서 전파된다. 침입한 후 여러 가지 방법으로 시스템 접근을 방해하는데, 가장 간단한 방법은 가짜 경고 공지를 표시하는 방법이다. 시스템이 불법적인 활동에 사용되었거나 불법 콘텐츠를 포함한다는 경고를, 관련 회사들이나 사법 기관으로부터 발행된 것처럼 표시하는 방식이다. 두 번째 형태는 시스템이 운영체제를 실행시키지 못하고 잠금(lock)되도록 (일반적으로 윈도우 쉘이 뜨도록) 시스템에 제한을 거는 방식이다. 마지막 방법은 가장 복잡한 형태로 파일들을 암호화하여 파일을 열지 못하도록 하는 것이다 백신 프로그램으로 악성코드를 없애도 암호화된 파일은 복구되지 않아 사상 최악의 악성코드라고 불린다. 해커들은 파일을 열 수 있게 해준다는 조건으로 돈을 요구하는데, 기한이 지나면 액수가 더 올라가고 파일을 복구할 수 없게 할 수 있다고 협박하기도 한다.

 

랜섬웨어 종류

CoinVault

Linux.Encoder

Hydracrypt, Umbrecrypt

PETYA

Jigsaw

TeslaCrypt

CryptXXX

BitStak

등 랜섬웨어 종류가 많습니다.

 

 

 

랜섬웨어 감염되는 경로

1.이메일 통해서 감염

2.어도비 플래시 플레이어 취약점

3.자바 취약점 감염

4.프로그램 최신아닌 구비전 이용

5.윈도우 일반/보안패치안하고 구비전

6.보안패치 지원 중단된 운영체제

7.토렌트 이용

8.P2P 이용

9.다른사용자에게 랜섬웨어 속주를 받거나 다운

10.앱체크 미설치

11.백신 미설치

등등

 

랜섬웨어 감염 예방을 할려면

1.알 수 없는 이메일을 열거나 첨부파일 다운 받지 않기

2.어도비 플래시 플레이어 최신비전으로 유지하기

3.자바 최신비전으로 유지하기

4.프로그램 최신으로 유지하기

5.윈도우 일반/보안패치를 통해 최신 운영체제로 유지

6.토렌트 사용하지말기

7.P2P 이용하지않기

8.공식 백신을 설치후 최신엔진으로 유지하면서 실시간 감시 하기

  단 윈도우 백신와 네이버 백신 사용하지말고 안랩, 이셋등 백신사 이용하기

9.랜섬웨어 감염 예방위해 앱체크 설치(무료/유료 상관없음)

 

랜섬웨어 관련 질문

 

1)랜섬웨어 감염 진행중이거나 감염된후 조치를 할 것

1.안전모드로 부팅하기

2.악성/바이러스, 랜섬웨어 속주 제거

3.암호안된 파일이 있거나 정상 파일은 모아서 백업 진행

 *참고 클라우드 동기화 된 경우 반드시 동기화 해제하시기 바랍니다.

 *MZK 또는 설치된 공식 백신으로 정밀 검사 하시면됩니다.

 

2)랜섬웨어 제거 방법

랜섬웨어는 종류 따라 자폭(자동으로 삭제)하는 경우가 많습니다 다만 자폭 안된 랜섬웨어 있는경우가 있으니 공식 백신으로 정밀검사 통해 악성/바이러스, 랜섬웨어 제거 진행하시기 바랍니다.

단 중요한 데이터가 없는 경우 윈도우 포맷후 윈도우 설치를 권해드립니다.

 

3)복구업체이용해서 암호된 자료를 복구 가능한가?

복구 업체 이용해서 99% 복구가 안됩니다 그리고 일부 복구업체는 100% 복구해준다고 광고 및 안내를 하는 경우가 있습니다 하지만 대부분 사기업체이니 절대로 받거나 믿으시면 안됩니다.

그리고 일부 업체는 복구 안하고 금전을 갈취 하는 업체도 있습니다.

 

4)복구툴을 어디에 다운을 받으면 되나요?

복구툴은 대부분 공식 백신사 통해서 구할수가있습니다 물론 무료으로 이용할 수가 있습니다.

현재 안랩, 엠시소프트 등 기타 백신사쪽 무료으로 복구툴 제공하고있는 상태입니다.

 

5)클라우드에 랜섬웨어 감염되었습니다 어떻게 해야하나요?

먼저 동기화 해제후 클라우드에 제공하는 이전데이터로 복구 해보시기 바랍니다.

참고

클라우드 업체따라 복구 서비스 제공안하는 업체도 있습니다.

클라우드 휴지통에 자료가 있는지 확인해보시기 바랍니다.

 

6)포맷하기전에 랜섬웨어 제거후 진행을 해야하나요?

아니요 포맷은 윈도우 시스템 포함해서 전부다 삭제하는 기능입니다.

따라서 포맷시 악성/바이러스, 랜섬웨어가 전부 제거하기 때문에 포맷할 경우 포맷을 진행하시기 바랍니다.

 

7)랜섬웨어가 한번 감염후 재 감염된다는게 사실인가요?

랜섬웨어는 취약점감염 또는 부주의인해 재 감염됩니다.

 

8)랜섬웨어 감염시 메인보드, 램등 장치에 영향을 받습니까?

아닙니다 메인보드, 램등 감염된다는 거짓 이며 일부 업체가 랜섬웨어 인해 교체가 필요한다는게 명백한 사기입니다. 만약에 업체측 요청시 무조건 거절하셔야합니다.

 

9)랜섬웨어 감염시 복구 가능하나요?

현재는 80~99% 복구 가능한 사례가 있습니다 그리고 100% 복구 안될수가있습니다

참고 랜섬웨어 따라 다르니 참고 하시기 바랍니다.

 

랜섬웨어 관련 정보 및 기타 정보는 아래사이트 참고하시기 바랍니다.

 

체크멀(앱체크)

랜섬웨어 대한 정보

(영상)https://www.checkmal.com/video/

https://www.checkmal.com/ransomware/ 

 

 

업체별 복구툴

> 더 보기
안랩 랜섬웨어 복구툴 : https://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
 
알약 랜섬웨어 복구툴 : https://www.estsecurity.com/ransomware#decryption 
 
카스퍼스키 랜섬웨어 복구툴 : https://noransom.kaspersky.com/
 
비트디펜더 : https://labs.bitdefender.com/https://labs.bitdefender.com/2018/10/bitdefender-law-enforcement-solve-for-multiple-versions-of-gandcrab-with-new-decryptor/ )
 
트렌드마이크로 랜섬웨어 복구툴 : http://www.trendmicro.co.kr/kr/tools/index.html

 

울지않는 벌새 블로그 작성된 복구툴

> 더 보기
https://hummingbird.tistory.com/6536
https://hummingbird.tistory.com/6713
https://hummingbird.tistory.com/6687?category=110616 
https://hummingbird.tistory.com/6614?category=110616 
https://hummingbird.tistory.com/6571?category=110616
https://hummingbird.tistory.com/6569?category=110616
https://hummingbird.tistory.com/6515?category=110616
https://hummingbird.tistory.com/6385?category=110616
https://hummingbird.tistory.com/6375?category=110616
https://hummingbird.tistory.com/6367?category=110616 
https://hummingbird.tistory.com/6363?category=110616 
https://hummingbird.tistory.com/6355?category=110616
https://hummingbird.tistory.com/6342?category=110616
https://hummingbird.tistory.com/6167?category=110616
https://hummingbird.tistory.com/6163?category=110616
https://hummingbird.tistory.com/6725

 

NO MORE RANSOM(노 모어 랜섬) : https://www.nomoreransom.org/ko/index.html

댓글