User-agent: * Allow: / Mozilla/5.0 (compatible; Yeti/1.1; +http://naver.me/bot)
  • 즐겨찾기link
  • 홈페이지
  • 로그인
  • 회원가입

Warehouse

Warehouse

랜섬웨어로 암호화된 파일을 복구할 수 없나요?

현재 랜섬웨어들은 사용자 파일을 암호화 할 때 대부분 RSA 2048 비대칭 암호화 방식을 사용합니다. RSA 2048 암호화 방식은 현재 국내외 온라인 금융, 공공기관에서도 사용할 만큼 보안성이 높은 암호화입니다. 해커가 보유한 복호화 키가 없을 경우 복호화는 사실상 불가능합니다. 숫자와 알파벳을 조합해 64자리의 암호를 걸어놓아, ‘경우의 수’가 16의 64제곱 가지, 무려 78자리 숫자에 달하기 때문에 슈퍼컴퓨터로 해독해도 수십 년이 걸리므로 사실상 복호화는 불가능 하다고 보시면 됩니다.

· 시스템복원 시점에서 파일 복구(Windows Vista 이상의 OS만 가능)

윈도우에서 기본제공하는 시스템복원에서 랜섬웨어 감염 전으로 복원지점 생성되어 있을 경우 파일 복구가 가능합니다.
(윈도우 시스템 파일들만 복구가 가능하며, 사용자가 생성한 문서파일은 복구대상에서 제외됩니다.)
최근에는 시스템복원 시점도 삭제하는 랜섬웨어가 등장하였으며,  이런 경우 위 방법으로 복구는 불가능합니다.

시점복구 방법 자세히 보기 > http://blog.alyac.co.kr/168

· 일부 랜섬웨어는 복호화 가능

수많은 랜섬웨어 중에서 일부는 제작자들이 검거되었거나 혹은 잘못 제작하여 비밀키를 유출할 수 있는 경우가 있습니다. 이런 경우에는 파일 복구 사이트를 통하여 암호화 된 파일들을 복구할 수 있습니다.

복호화 가능한 랜섬웨어 자세히 보기 >> http://blog.alyac.co.kr/451 / http://blog.alyac.co.kr/457

랜섬웨어에 감염되면 어떤 증상이 발생하나요?

1) 랜섬웨어가 감염되면 암호화를 수행하는 악성파일을 생성하며 해당 악성파일이 PC 부팅 시 자동 실행되도록 설정합니다.

2) 다음 PC 부팅 시 악성파일 동작으로 PC가 많이 느린 증상이 나오며 우측 하단에 방화벽이 꺼져있다는 창이 발생합니다.

3) 자신이 실행되었던 흔적과 시스템복원 시점 등을 삭제하고 로컬PC와 공유된 모든 경로의 대상이 되는 파일(문서, 사진 위주)을 암호화 시킵니다

4) PC환경에 따라 수 분~수십 분이 소요되며 ccc, encrypted 등 파일 확장자가 변경되거나 확장자 변경 없이 암호화만 되는 경우도 있습니다.

5) 각 폴더 및 시작프로그램에 금전요구 안내 파일(howto… / help… 등으로 시작하는 메모장, 웹문서 파일)이 생성됩니다.

6) 암호화를 완료한 후 악성파일은 자신이 실행되었던 흔적과 시스템복원 시점 등을 삭제하고 자가삭제를 수행합니다.

 

* 금전요구 안내가 부팅 시 자동으로 보여지지 않고, 암호화된 파일이 공유된 폴더에만 존재하는 경우 해당 PC의 감염이 아니라 폴더 공유 중 인 다른 PC에 감염 되었을 가능성이 높습니다.

* 일부 랜섬웨어 변종들의 경우 다른 증상이 나타날 수도 있습니다.

랜섬웨어를 예방하려면 어떻게 해야하나요?

1. 기본적인 보안 수칙을 잘 지켜야 합니다.

1) 윈도우 업데이트, IE브라우저, Adobe, Office 등 자주 사용하는 SW를 항상 최신으로 유지해야 합니다.
만약, 다양한 SW들의 업데이트 상황을 일일이 확인하기 힘들다면, 알약 익스플로잇 쉴드의 취약점 점검과 같은 기능을 이용해서 한눈에 SW버전 상태를 확인할 수도 있습니다.

2

2) 토렌트 등 파일공유 사이트 및 개인 블로그 등 신뢰할 수 없는 사이트를 통한 파일 다운로드를 지양합니다.

2. 신뢰할 수 있는 백신을 사용합니다.

사용자들이 많이 사용하는 백신들은 기본적으로 알려진 대부분의 랜섬웨어에 대하여 탐지하고 치료할 수 있습니다.

현재 알약에서도 Trojan.Ransom.cryptolocker , Trojan.Ransom.CryptoWall , Trojan.Ransom.TeslaCrypt , Trojan.Ransom.Filecoder , Trojan.Ransom.Chimera 등과 같은 탐지명으로 랜섬웨어의 진단 및 치료가 가능합니다.

* 백신에서의 랜섬웨어 치료 개념은 랜섬웨어 악성코드를 제거하는 뜻으로, 암호화 된 문서를 복호화 한다는 의미는 아닙니다.

또한 최근 기승을 부리는 랜섬웨어에 대응하기 위하여 알약에 랜섬웨어 방어기능을 탑재하였습니다.
랜섬웨어 악성코드가 사용자 파일을 암호화 하기 전 알약에서 감지하여 차단하며,  현재까지 알려진 랜섬웨어에 대하여 효과적으로 대응할 수 있습니다.

3. 중요 파일에 대한 백업을 습관화 합니다.

중요한 파일들에 대하여 로컬PC가 아닌 외장하드, USB 등 다른 저장매체에 백업을 습관화 합니다. 클라우드 서비스에 저장을 하여도, 최근에는 실시간 동기화 서비스가 제공이 되어 로컬에 있는 문서들이 바로 바로 동기화 되기 때문에, 자칫하다가는 클라우드에 있는 정보들까지 모두 암호화 될 수도 있습니다.
특히 상대적으로 기업 환경에서는 중요 문서를 많이 다루고 관리해야 할 임직원들이 많아 랜섬웨어 악성코드에 감염될 경우 피해가 매우 큽니다.
이러한 기업환경에서 임직원들의 중요자료를 실시간으로 자동 백업 시켜줄 수 있는 문서 백업솔루션 및 문서중앙화 솔루션을 도입하는 것도 랜섬웨어 공격의 피해를 막을 수 있는 하나의 방법이 될 수 있습니다.

>> 랜섬웨어 감염파일 복구 사례 보러가기

알약 랜섬웨어 차단기능이란?

사용자 PC가 랜섬웨어에 감염되어 파일이 암호화 되기 전, 알약이 발견하여 파일 암호화 하는것을 저지하는 기능

차단 방법

1. 사용자 PC가 보안취약점 혹은 첨부파일 등의 경로로 랜섬웨어에 감염됩니다.
2. 랜섬웨어 악성코드가 사용자 PC에 존재하는 파일들을 암호화를 시키기 전 알약에서 랜섬웨어를 감지하고 차단함으로서 사용자의 파일들이 암호화 되는 것을 방지합니다.
알약에서는 랜섬웨어 악성코드가 파일들을 암호화 시키는 것을 효과적으로 막을 수 있을 뿐만 아니라, 다음과 같은 진단명으로 랜섬웨어의 진단 및 치료가 가능합니다.

ransom1

① 랜섬웨어 악성코드 행위가 감지되면 알약에서
자동으로 랜섬웨어를 차단합니다.

ransom2

② 랜섬웨어 차단 후에 신고하기를 누르면 랜섬웨어 파일 분석을 위하여 시스템 정보를 수집합니다.

ransom3

③ 시스템 정보 수집 후에는 확인 창이 뜹니다

List of Articles
번호 제목 글쓴이 날짜 조회 수sort

로그인

로그인폼

로그인 유지

X