광고

     

     

     

     

     

     

    지난 주말부터 한글버전의 크립토락커 랜섬웨어가 인터넷을 떠돌고 있습니다.

     

    프로그램을 실행하지 않아도 감염되어 버리는 '드라이브 바이 다운로드(Drive-by-Download)' 방식으로 유포되고 있어서 많은 주의가 요구되고 있습니다.

     

    2013년부터 등장하기 시작한 '크립토락커'는 가장 악명 높고 영향력이 있는 랜섬웨어로 알려져있습니다.

    지금까지 한글 버전은 없었으나, 지난 주말부터 한글버전이 한국 웹상을 떠돌아다니고 있다고 합니다.

     

     

    ▲ 크립토락커 랜섬웨어에 감염된 PC에서 출력되는 화면

     

     

    가장 큰 문제는 웹 서핑 도중 '드라이브 바이 다운로드' 방식으로 감염되고 있다는 문제입니다.

     

    어떠한 파일을 다운받거나, 다운받아서 실행하지 않고 오직 웹서핑을 했을뿐인데 감염이 되어버립니다.

     

    크립토락커 악성코드에 감염되면 사용자의 파일 (문서파일, 사진, 동영상 등등)을 모두 암호화 시켜버리며, 이 암호화 된 파일을 풀기위해서 돈을 내놓으라고 합니다. 현재 요구하는 금액은 한화 40만원대, 그리고 시간이 지날수록 요구 금액이 올라가도록 설정되어있습니다

     

     

    즉 파일을 인질로 잡고, 현금을 요구하는겁니다.

    또한 이번 랜섬웨어는 '네트워크 공유'된 PC까지 모조리 공격한다고 알려져있습니다.

     

    NSA나 공유기를 이용해 여러 PC를 연결해놓은 경우, 한 PC만 감염되면 전부 다 감염이 되어버린다고 합니다.

     

     

     

    예방방법

    랜섬웨어를 예방하기 위해서 할 수 있는 방법으로 아래와 같은 방법이 있습니다. 

    (최근 Flash Player 취약점을 통해 공격하는 경우가 많다고 합니다. 꼭 최신버전을 유지합시다)

    • 항상 인터넷익스플로러(IE)는 최신 버전 업데이트 - [Internet Explorer]
    • Flash Player 최신 버전 업데이트 - [Adobe Flash Player] (크롬 브라우저의 경우 자동으로 플래쉬 플레이어가 최신버전으로 업데이트 됩니다.)
    • 백신 프로그램 사용 - [MSE 추천(무료)]
    • 중요 파일은 1차 백업, 2차 백업을 합니다. (백업 파일은 네트워크와 분리해 놓습니다)
    • 보안에 취약한 사이트는 접속하지 않습니다.


    보안은 두번 세번 점검해도 시간이 아깝지 않습니다. 귀찮더라도, 윈도우나 각종 프로그램을 꼭 최신버전으로 유지합시다.

     

    .


     

     

     

    감염 확인 방법

    감염 확인 방법은

    http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3136/goz-and-cryptolocker-malware-affecting-users-globally

    링크에서 자신의 OS에 맞는 버전으로 다운받아 실행 후 확인할 수 있습니다.

    10~20여분 정도 걸린다고 합니다.

     

     

     

     

    임시 해결방법

    일부파일 암호화를 풀 수 있는 방법이 나왔습니다.

    ※ 단 시스템 복원 지점이 설정되어 있었어야 합니다. 시스템 복원 지점이 없었다면 복호화 불가능 입니다.

     

    Installer (exe)

    ShadowExplorer-0.9-setup.exe

    .

     

     

    Portable (zip)

    ShadowExplorer-0.9-portable.zip

     

     

    기록된 이전 파일을 조회하는 프로그램이라고 합니다. (즉 복원 시점으로 되돌릴 수 있습니다. 암호화 되기 전 상태 말이죠)

     

     

    STEP 1 : 암호화 되어 잠긴 파일이나 폴더에 찾아갑니다. 

     

     

    STEP 2 :

    Installer로 설치했을 경우 암호화 되어 잠긴 파일에 마우스 오른쪽 클릭하여 export를 누른 후 추출될 위치를 지정해줍시다.

    Portable로 설치했을 경우 Shadow Explorer를 실행 하여 암호화 된 파일 위치로 찾아가서 export를 합니다.

     

     

    결과 : 암호화 되기 전 상태로 복구됩니다.

     

    Source : 뽐뿌

     

     

     

     


    추가로 크립토락커 원인파일 제거 툴

    http://cafe.naver.com/malzero/94376


    '안전모드' 상태에서 위 카페에 접속 후 파일을 다운받아 실행하면 됩니다.



    하지만 위 툴을 사용하더라도 암호화된 파일은 원래상태로 돌아오지 않습니다.



     


     


    마이크로 소프트에서도 대응 시작

    최근 세계적으로 랜섬웨어에 의한 피해가 늘어감에 따라 윈도우를 제작한 MS에서도 대응을 시작했습니다.

    하지만 좋은 소식으로 감염 추세가 줄어들고 있다고 합니다.


    http://www.microsoft.com/ko-kr/security/pc-security/malware-removal.aspx


    해당 페이지에있는 검사 프로그램을 진행할 경우 랜섬웨어를 찾아 제거해줍니다.

    다만 암호화가 진행중이라면 나머지 파일이 더 이상 암호화 되지 않고 정지됩니다.

    즉 복호화는 되지 않는다는 얘기입니다.

     

     

     

     

     

    크립토락커 랜섬웨어 해커가 남긴 글

    ===============================================================================
    !!! 본인의 모든 파일을 Crypt0L0cker 바이러스으로 코딩했습니다 !!!
    ===============================================================================


    본인의 모든 즁요한 파일을 (원격 네트워크 드라이브, USB 등에 저장된 파일을 포함해서): 사진, 동영상, 문서 등 Crypt0L0cker 바이
    러스으로 코딩했습니다. 본인의 파일을 복구할 유일한 방법은 저희한테 지불하는 방법입니다. 그렇지 않으면 본인의 파일이 손실됩니다.

    파일 복원 지불하려면 여기를 클릭하십시오:
    http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035


    -------------------------------------------------------------------------------
    -------------------------------------------------------------------------------

    [=] 제 파일이 어떻게 된 겁니까?

    본인의 모든 즁요한 파일은: 사진, 동영상, 문서 등 Crypt0L0cker 바이러스으로 코딩했습니다.
    이 바이러스는 매우 강력한 암호화 알고리즘- RSA-2048을 사용합니다.
    특수 키가 없으면 암호화 알고리즘 RSA-2048를 깨기 불가능합니다.


    [=] 제 파일을 복원 할 수 있습니까?

    지금 본인이 자신의 파일을 어느 쪽도 사용하지 않고 열 수도 없습니다. 열기 해보시면 그 것을 확인할 수 있습니다.
    정상으로 복원하기 유일한 방법은 저희 특별한 해독 프로그램을 사용하는 것입니다. 저희 웹 사이트에서 디코딩하기위한
    프로그램을 구입할 수 있습니다 (http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035).


    [=] 그런 다음에 어떻게 하는 겁니까?

    저희 웹 사이트에 들어가서 본인의 컴퓨터를 위한 디코딩 프로그램을 구입해야 합니다
    (http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035)


    [=] 웹 사이트에 들어갈 수 없습니다. 어떻게 해야됩니까?

    다음 링크 중에 하나를 이용하면서 웹 사이트에 들어갈 수 있습니다:
    http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035
    http://zoqowm4kzz4cvvvl.torminator.org/w75f4z.php?user_code=tgl7ai&user_pass=1035
    http://zoqowm4kzz4cvvvl.tor2web.blutmagie.de/w75f4z.php?user_code=tgl7ai&user_pass=1035

    http://zoqowm4kzz4cvvvl.onion/w75f4z.php?user_code=tgl7ai&user_pass=1035 (TOR browser)

    어떤 이유로 지정된 주소를 사용할 수 없으면 다음 단계를 수행하십시오:
    1. 다음과 같은 링크로 TOR 브라우저를 다운로드하고 설치하세요 :
    http://www.torproject.org/projects/torbrowser.html.en
    2. 성공적인 설치 후에는 브라우저를 실행하고 초기화를 기다려주세요.
    3. 주소 표시 줄에 입력하세요:
    http://zoqowm4kzz4cvvvl.onion/w75f4z.php?user_code=tgl7ai&user_pass=1035
    4. 저희 사이트에 들어가주세요

    또한 이메일로 문의하실 수 있습니다 : decrypthelp@mail15.com

    -------------------------------------------------------------------------------
    -------------------------------------------------------------------------------

    계정 데이터:
    URL: http://zoqowm4kzz4cvvvl.torlocator.org/w75f4z.php
    User-Code: tgl7ai
    User-Pass: 1035

     

     

     

     

    UPDATE: SLR club에서 랜섬웨어 결제하신분이 등장

     

    매우 중요한 파일들이 암호화 되어버린 분의 글입니다.

    미친척 하고 비트코인을 45만원 가량의 한화를 들여 결제한 후

     

    해커가 보내준 프로그램으로 다행히 90% 정도 복원했다고 합니다.

    해커는 또한 컴퓨터 마다 복원키가 다르다고 했다고 합니다.

     

    즉 이분이 받은 프로그램을 다른 컴퓨터에서 돌려봤자 소용이 없다는 얘기입니다.

     

    Source : SLR club

    광고


    Posted by 퍼스나콘
    • 이전 댓글 더보기
    • 1234
      2015.11.05 12:28

      외장하드에 연걸해서 바이러스에 안 걸린 파일을 옮길려고하는데 외장하드도 바이러스에 감염될 수 있나요? 시간이 지날수록 더 많은 파일들이 감염되서 복구가 불가능 한가요?

    • KNJ
      2015.11.12 16:17

      바탕화면에 거의 파일이 있는데 바탕화면 파일이 보이질 않네요 ㅡ.ㅡ 어떻게 해야 될까요 바탕화면에 중요한 몇가지만 살리면 될거 같은데 ㅠㅠ 난감합니다.

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.11.14 16:28 신고

        보이지 않는다는 분들이 몇분 계시네요.
        저도 이유는 모르겠습니다 ㅠ_ㅠ

        아마도 시스템 복원 지점이 정해져있지 않거나, 다른 문제가 아닐까 합니다.

    • BlogIcon 김도한
      2015.11.13 13:25

      윗분이 질문주셨는데 다시한번 질문드립니다.
      글 내용중 이전으로 잠시복구가 가능하다는걸로
      이해했는데 잠시 복구시점에 외장하드로 옮길수있나요??
      중요한 파일들이라서요ㅜㅜ
      컴맹이라 뭐가 뭔지 모르겠네요. 대부분 파일이 ccc로 변해있구요

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.11.14 16:27 신고

        일부 파일들 복구하고 복구된 파일 외장하드로 옮길 수 있습니다.

    • BlogIcon ddd
      2015.11.17 21:04

      오늘감염되었습니다 위파일을 다운로드해서 복원을 시켰는데 파일을읽지를 못합니다 정말중요한것들이있는데 어떻게 해야합니까?

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.11.20 01:03 신고

        Shadow Explorer로 보이시지 않는다면 시스템 복원 방식을 이용한 복구는 어렵습니다.

        안랩 랜섬웨어 보안센터가 오픈했으니
        http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
        가셔서 한번 확인해보세요.

    • yyy
      2015.11.18 17:43

      감염되었습니다. 위에 포스팅하신대로 따라하면 포맷안하고도 바이러스를 제거할수있나요..? 복구는 포기했습니다...

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.11.20 01:04 신고

        크립토락커 원인파일 제거 툴을 돌렸을때 해당 프로그램이 검출하는 경우 치료가 되지만 완전히 최근에 나타난 변종이라면 찾기 힘들 수 있습니다.

        어차피 복구를 포기하셨다면 포맷하는게 가장 깔끔한 방법입니다.

    • Favicon of http://persnacons.tistory.com/371 BlogIcon ang
      2015.11.19 18:02

      감염 된 파일 들은 어덯해 찾나요?

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.11.20 01:04 신고

        감염된 파일들은 원래 파일들이 있던 위치에 존재합니다. 확장자만 이상하게 바뀌어서 말이죠.

    • 오리
      2015.11.24 20:37

      제거툴은 꼭 안전모드로 해야 제거되나요? 제거툴은 c드라이브만 검색하던데 d나 e 등 다른 드라이브는 상관없나요?

    • 김종길
      2015.11.24 22:52

      크립토락커 감염되어 비트코인 지불하여 디코딩 프로그램 실행하였습니다. 숙주컴퓨터 치료하고 네트워크 (약 20테라) 컴퓨터에 있는 파일까지 다 치료되는 듯 했는데, 이게 파일을 삭제해버렸네요...파일이 삭제될 수도 있나요? 저희가 로컬 컴퓨터 PC에서 2~3개 동시에 실행하여 네트워크 서버에 있는 파일들이 중복치료된다거나 하는 이유로 파일들이 삭제된건지...

      답변 부탁드립니다...

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.11.29 22:07 신고

        악질 크립토락커인듯 합니다.
        복구툴이라면서 파일을 삭제해버리는 경우가 있다고 하더라구요.

    • 건강지킴이
      2015.11.25 00:04

      c폴더만 보이고 d폴더 f폴더는 아예 안보이네요 보이게 할수 없나요?

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.11.29 22:08 신고

        D,F 드라이버의 복구지점이 설정되어있지 않나 봅니다.

    • 휴.......
      2015.11.30 21:40

      전 어쩌죠...백업 분명히 해놨었는데 파일 암호화 되면서 다 삭제돼버렸어요....
      해킹 당하기 전날로 복구해보려고도 했지만 다 삭제....역시나 사진 임시복원 해보려했지만 vvv파일로ㅠㅠ
      15기가 훌쩍넘는 추억들이...다 날라갔는데 진짜 속상하네요 복구는 힘들겠죠.. 포맷이..정답?

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.12.23 01:43 신고

        vvv 파일 포맷은 시스템 복원지점까지 삭제한다고 합니다 ㅠㅠ

    • 랜섬웨어 이놈
      2015.12.04 11:06

      12월3일 어제 걸렸는데요
      윈도우7이고 제어판가서 시스템복원을 눌러보니 c,d드라이브 다 설정이 되어있더라고요
      그리고 쉐도우익스플로러 실행하니까 c,d드라이브가 있는데 오른쪽에는 다 텅비어있네요?
      이럴경우 복호화 불가능인가요?
      댓글들을 보니까 안랩 랜섬웨어 보안센터에서도 복구할수있는 방법은 없는건가요?
      돈안주고 포맷만이 살길인지..ㅠㅠ

    • BlogIcon 크립토라커ㅗ
      2015.12.22 21:32

      포터블 다운받아서 압축해제해서 열었는데 화살표아이콘의 창이 뜨긴 뜨는데 완전 빈칸으로 나오는데 왜 그래요ㅠㅠ?

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.12.23 01:44 신고

        빈칸으로 나오는 경우면
        1. 복원지점이 설정되어 있지 않거나
        2. 랜섬웨어가 복원지점을 삭제했거나
        3. 기타 오류
        셋 중 하나일 가능성이 높습니다. ㅠㅠ

    • 도와줘요
      2016.01.20 10:35

      ccc파일로 된 것들도 있고 하얀색페이지로 보이는것들도 있는데 export? 이거해도 달라지는게 없어요.. 가게컴퓨터인데 어떻게 해야될까요 제발 도와주세요

    • 에휴
      2016.01.30 18:25

      네트워크 공유된 컴퓨터도 감염된다고 하셧는데 인터넷 엑세스 말슴하시는 거죠?

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2016.01.31 03:15 신고

        네트워크로 연결된 컴퓨터를 말합니다.
        내부 전산망이 연결된 컴퓨터 중 하나가 당하면 전산망 전체로 번지는거죠

    • 도와주세요
      2016.02.02 12:31

      어쩌다가 크립토락커 랜섬웨이에 걸려 알려주신 방법으로 하고있는데, 크립토락커에 걸릴 때 USB를 꽂아놨거든요? 근데 그 USB에도 크립토락커가 걸렸어요. 정말 중요한 문서가 담겨있는 USB인데 이 USB는 어떻게 복구하나요?ㅜㅜ?

    • ㅠㅠ..
      2016.02.04 04:58

      바탕화면에 저장해둔 한글문서를 복원하려고 포터블 깔고 찾아봤는데.. 바탕화면에 저장해둔 폴더를 못찾겠어요 ㅠ.ㅠ... 바탕화면에 저장해놓았다가 암호화된 파일은 복구가 안되나요ㅠㅠ?

    • ㅠㅠ..
      2016.02.04 05:07

      그리고, 혹시 복구가 안된다면 그냥 놔두려고 하거든요..? 알약 정밀검사나 위에 써주신 마이크로소프트 악성코드 제거기?다 검사했는데 아무것도 안뜨더라구요.. 근데 뭔가 찝찝해서 ㅠㅠ 이게 한번 감염되서 암호화 되고, 앞으로도 계속 지속적으로 암호화 되나요? 아니면 감염 당시에 문서들만 감염되는건지... 그게 가장 궁금하네요 ㅠㅠ

    • 랜섬에 당한 바보
      2016.02.11 21:02

      이경우 만약 본체가 성공한다면 외장하드 도 이런 방법으로 복구가 가능한가요?

    • BlogIcon 긴급
      2016.02.12 21:21

      저 ccc파일 형식은 안되나요?

    • 範信郭
      2019.09.09 03:49

      主人장님 통신망(Internet)에서 정보삭제협박(Ransomware)에 시달리고있는 사람들을 위해 도움글을 올려주셔서 고맙습니다.

      안타깝게도 저는 체계(System) 복원 지점이 없어서 이 방법이 안됩니다만은 感謝를..                                 
      *감사*

광고

data-ad-language="ko">