모두 새해 복 많이 받으세요!


    광고


    크립토락커? 랜섬웨어?

    6개월 전 유행했던 크립토락커 랜섬웨어가 다시 유행의 조짐이 보이고 있습니다.

    제 블로그에 며칠간 많은 유입이 이뤄졌는데 무엇 때문인가 해서 보았더니 크립토락커 때문이었습니다.


    크립토락커가 무서운점은 프로그램을 실행하지 않아도 감염되어 버리는 '드라이브 바이 다운로드(Drive-by-Download)' 방식으로 유포되고 있다는 점 입니다.


    2013년부터 등장하기 시작한 '크립토락커'는 가장 악명 높고 영향력이 있는 랜섬웨어로 알려져있으며 6개월 전 부터 드디어(?) 한글버전이 한국 웹상을 떠돌아다니고 있다고 합니다.


    ▲Crypt0L0cker(크립토락커)에 감염된 PC에서 출력되는 화면




    정확하게 어떤 것인가?

    크립토락커는 감염되면 사용자의 파일(문서파일, 사진, 동영상 등)을 모두 암호화 시켜버리며, 이 암호화 된 파일을 풀기위해서 돈을 내놓으라고 합니다. 

    쉽게 말해서 파일을 인질로 두고 돈을 요구하는 악성코드입니다. 더 무서운점은 네트워크로 연결된 PC까지 모두 공격한다는 점입니다. 회사 네트워크에 연결된 PC 1대가 감염된다면, 따로 보안수단이 없는이상 모든 PC를 연속적으로 감염시키는 무서운 바이러스 입니다.





    해결방법은 없는 것인가?

    크립토락커에 감염되어 암호화된 파일을 완벽하게 되돌릴 수 있는 방법은 쉽지 않습니다.

    '암호화 키'가 공개된 암호화의 경우 쉽게 복호화 할 수 있지만, 공개되지 않은 암호화의 경우 순차적으로 복호화하려고 해도 일반 컴퓨터로 수년, 수십년을 돌려야 암호화 키를 얻을 수 있을 정도로 강력한 암호화를 사용하고 있습니다. (AES 256 해쉬 암호화)


    지푸라기라도 잡는 심정으로 해커(?)에게 돈을 송금해도 먹튀를 당하는 경우도 상당히 많다고 합니다.

    가끔 착한 해커의 경우 복호화 시켜주는 프로그램을 보내주기도 한다고 합니다.

    또한 PC마다 암호화 키가 다르기 때문에 해당 프로그램을 크립토락커에 감염된 또 다른 PC에서 실행하더라도 작동하지 않습니다.

    정말로 방법은 없는걸까요?


    하지만 일부파일 암호화를 풀 수 있는 방법이 존재합니다.

    바로 Shadow Explorer라는 프로그램입니다.


    ※ 단 시스템 복원 지점이 설정되어 있어야 합니다. 시스템 복원 지점이 없었다면 복호화 불가능 입니다.


     

    Installer (exe) 

    ShadowExplorer-0.9-setup.exe



    Portable (zip)

     

    ShadowExplorer-0.9-portable.zip

     


     

    공식 홈페이지 : Shadow Explorer Download

     

     저장된 복원 시점으로 복구할 수 있는 프로그램입니다. (즉 복원 시점으로 되돌릴 수 있습니다. 암호화 되기 전 상태 말이죠)


     

    STEP 1 : 암호화 되어 잠긴 파일이나 폴더에 찾아갑니다. 

      

     

    STEP 2 : 

    Installer로 설치했을 경우 암호화 되어 잠긴 파일에 마우스 오른쪽 클릭하여 export를 누른 후 추출될 위치를 지정해줍시다.

    Portable로 설치했을 경우 Shadow Explorer를 실행 하여 암호화 된 파일 위치로 찾아가서 export를 합니다.

      

     

    결과 : 암호화 되기 전 상태로 복구됩니다.

      

    Source : 뽐뿌

     



    추가로 크립토락커 원인파일 제거 툴

    http://cafe.naver.com/malzero/94376


    '안전모드' 상태에서 위 카페에 접속 후 파일을 다운받아 실행하면 됩니다.



    하지만 위 툴을 사용하더라도 암호화된 파일은 원래상태로 돌아오지 않습니다.





    마이크로 소프트에서도 대응 시작

    최근 세계적으로 랜섬웨어에 의한 피해가 늘어감에 따라 윈도우를 제작한 MS에서도 대응을 시작했습니다.

    하지만 좋은 소식으로 감염 추세가 줄어들고 있다고 합니다.


    http://www.microsoft.com/ko-kr/security/pc-security/malware-removal.aspx


    해당 페이지에있는 검사 프로그램을 진행할 경우 랜섬웨어를 찾아 제거해줍니다.

    다만 암호화가 진행중이라면 나머지 파일이 더 이상 암호화 되지 않고 정지됩니다.

    즉 복호화는 되지 않는다는 얘기입니다.





    랜섬웨어 예방방법

    랜섬웨어를 예방하기 위해서 할 수 있는 방법으로 아래와 같은 방법이 있습니다. (최근 Flash Player 취약점을 통해 공격하는 경우가 많다고 합니다. 꼭 최신버전을 유지합시다)

    • 항상 인터넷익스플로러(IE)는 최신 버전 업데이트 - [Internet Explorer]
    • Flash Player 최신 버전 업데이트 - [Adobe Flash Player] (크롬 브라우저의 경우 자동으로 플래쉬 플레이어가 최신버전으로 업데이트 됩니다.)
    • 백신 프로그램 사용 - [MSE 추천(무료)]
    • 중요 파일은 1차 백업, 2차 백업을 합니다. (백업 파일은 네트워크와 분리해 놓습니다)
    • 보안에 취약한 사이트는 접속하지 않습니다.


    보안은 두번 세번 점검해도 시간이 아깝지 않습니다. 귀찮더라도, 윈도우나 각종 프로그램을 꼭 최신버전으로 유지합시다.

    광고


    Posted by 퍼스나콘
    • 레포트날려서당황했던대딩
      2015.11.05 18:16

      진짜 고맙습니다. 자동 시스템복원이 되어있는지.. 진짜 다 복호화되네요. 진짜 고맙습니다..

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.11.05 18:49 신고

        다행이시네요 ㄷㄷ
        포맷후 왠만하면 IE말고 크롬으로 웹브라우징 하세요!
        요즘 flash 혹은 광고서버를 통해 뚫리는 경우가 거의 대부분입니다.

    • 다날렸습니다
      2015.12.11 09:59

      ..아아.. 재부팅 하는게 아닌데 죈장. 첨에 걸렸을때 바로 삭제해야 하는데 재부팅하니 전부다 암호화 해부리네요 ㅠㅠ 2015년 12월 11일 현재 실행파일 두개로 엄청나게 암호화시킵니다.. 이거 답없네요.. 왠만한 해적사이트에서 검색기능 사용하지마세요. 바로 직빵입니다.

      • Favicon of https://persnacons.tistory.com BlogIcon 퍼스나콘
        2015.12.11 20:48 신고

        요즘 일본에서 발견된 변종 소식을 보니
        이제 윈도우 복원지점도 날리고(본문의 Shadow Explorer 무력화) 차단 백신들도 다 피해가고 무섭더라구요.

        플래쉬 사용 해제가 가장 안전한 정답인듯 합니다.

광고

data-ad-language="ko">