[바이러스비상!] 랜섬웨어 크립토락커, 크립토 월

 

■그동안 CMOS를 날렸던 C.I.H바이러스,컴퓨터 켜길 망설이게 했던 블레스터 웜,

농협을 들었다 놨던 DDOS바이러스 등... 20년 가까이 수많은 바이러스를 보아왔지만,

이번 크립토라커 랜섬웨어 만큼 극악스런 바이러스는 처음 인것 같네요 ㅡ.ㅡ;

이번주에만 벌써 네군데...

 

[감염 된 파일을 열게되면 위와같이 모든 자료를 암호화시키고 비트코인 결제를 통해 복구를 유도하고 있습니다]

 

과거에 CIH바이러스는 롬라이터로 수리가 가능했고, 블래스터웜도 복구를 하면 절반정도는 복구가 가능 했습니다.

디도스 바이러스 경우도 충주시내 농협 100여대를 수리를 했고 대부분 복구를 해 내었지요.

그런데 이 크립토..는 차원이 다른 바이러스 입니다.

 

 

파티션을 날리고 자료를 없어버리는 바이러스가 아니라, 오로지 사용자의 모든데이터를 찾아내어 변형시키고,

아예 열어보지 못하도록 암호화(Encrypt) 설정해 버립니다.

데이터라면 엑셀,파워포인트,한글(hwp),사진.동영상,압축파일들 그리고 인증서(Key)파일

심지어는 복구용으로 자주쓰는 고스트(gho) 파일까지 총망라 하고 있습니다.

정확이는 알수 없지만 암호화시키는 확장자가 무려 40여개에 이른다 하는군요.

제가 직접 발견한 파일들은 아래와 같습니다.

ex) txt,rtf,xls,xlsx,ppt,pptx,doc,docx,mdb,avi,wmv,mpg,mp4,hwp,arj,lzh,zip,rar,key,jpg,tif,gho..........

 

 

■ 치료방법은?

없습니다.

트렌드마이크로에서 해당 바이러스를 치료할 수 있는 프로그램을 무료 배포(http://www.trendmicro.co.kr/kr/security-intelligence/anti-threat-toolkit)하고 있는데 이는 백신프로그램의 기본기능이라 할수 있는 치료나 복구,차단 기능이 있는게 아니라,

해당 바이러스프로그램을 단순히 제거하는데 그치고 있습니다.

 

검색을 하면 '랜섬웨어치료, 복구'가 많이 뜨기는 하지만  대부분 이미 감염된 PC의 자료를 치료해서 다시 사용할 방법은 없습니다.

오로지 해커그룹이 요구하는 '인터넷화폐-비트코인'으로 50만원~ 이상의 결제금으로 사정해 보는 방법 뿐입니다.

이 마저도 먹튀가 많아서 확률이 반반이라는얘기들이 있군요. ㅡ.ㅡ;

 

복구가 간간히 되는 경우가 있어서 '복구가능'하다고 말하는 경우가 있는데, 이는 순간복구프로그램이 깔려 있었던 경우이거나

윈도우시스템복원이 C드라이브 뿐만 아니라,D,E 드라이브까지 설정 해 놓은 경우 입니다.

이럴경우 shadow explorer 란 유틸을 이용해 탐색기처럼 검색한 후 해당 파일을 복구 시키는 경우인데,

이번 10월에 변종으로 나온 경우의 바이러스는 시스템복원 영역을 해제시킨 다음에 암호화 시킨다고 하네요. ㅋㅋ

 

결국은 치료방법은 없다고 보면 될것 같고... 아래와 같은 방법으로 조치를 해 볼것을 권해 드립니다.

 

■ 조치방법

① 발견즉시 컴퓨터를 강제로 끄고 하드디스크를 분리 합니다.

② 우선적으로 (트렌드마이크로에서 배포한 백신을 설치한) 다른컴퓨터에 하드디스크를 연결하고 남아있을 바이러스를 검색,제거합니다.

③ 남아있는 정상자료는 일일히 백업을 하고 혹시모를 경우에 대비해서 해당 하드디스크를 포맷을 해 버립니다.

④ 원래의 컴퓨터에 하드디스크를 다시 연결한 후 윈도우 등 프로그램들을 재설치 합니다.

⑤ 그래도 너무나 중요한 자료라 무조껀 복구해야 한다면 금전적인 부담을 감수하고 전문복구업체에 의뢰해 볼 것을 권유드립니다.(확률이 크진 않음..)

 

 ■ 예방방법은?

예방방법도 사실 불분명 합니다.

 

 

 

대부분 원론적인 이야기들을 많이합니다.

방화벽사용, 최신 보안패치, 최신백신프로그램 등 등..

그런데 포보기가 겸험한 바로는 최신 보안패치를 한 PC도 감염이 되었고

 V3,알약,AVAST 최신 버전이 세팅되어진 PC도 감염 되었다는것을 확인 했습니다.

다른분들의 경우를 찾아보니 여타 유명백신프로그램들도 대부분 구실을 하지 못하는 듯.... 

이에 예방방법은 따로이 크게 없는 듯 하고, 위의 원론적인 방법들 외에 본인 스스로 자료를 지키고자 하는 노력만이 있을 뿐입니다.

포보기가 추천하는 예방법은 아래와 같습니다.

 

① 중요한 파일을 미리 외장하드나 USB를 이용해 백업을 해 놓습니다.

② 알수없는 곳에서 발송된 메일은 절대 열어보지 말며, 아는 메일이라도 exe로 첨부된 파일들은 다운로드 하지 않습니다

③ 좋아하는 야동 사이트도 당분간 자제를 합시다 ^^;

④ 토렌트를 사용하는 경우에도 압축파일이나 exe실행 파일등은 다운로드 하지 않습니다.

⑤ 어도비 flashplayer는 항상 업그레이드를 유지하고 외국 사이트의 플래시 배너 광고는 절대 클릭 하지 맙시다.

⑥ 마지막으로 포보기가 가장 권유드리는 예방방법

  - 일단 모든중요한 파일을 한데 모아서 이용해 하나의 파일로 압축합니다. 고스트나 TrueImage같은 복원프로그램을 사용하는것도 좋습니다. 

  - 그런다음 압축파일의 확장자를 자기만 알수있는 확장자로 임의 변경 해 두면 사용자데이터를 건드리지 않는 바이러스의 특성상 해당파일이

     손실되지는 않을 것입니다.

 

      Ex) data.zip → data.20151101  (압축파일의 확장자를 날짜로 바꾸어 보았습니다) 

            backup.gho → backup.hongildong (고스트 백업파일을 이름으로 바꾸어 보았습니다 ^^)