글 작성자: 모두의 근삼이

 

요즘 랜섬웨어라는 바이러스가 전세계의 인터넷 망을 통해 돌아다니면서 행패를 부리고 있습니다.

하지만, 랜섬웨어라는 바이러스가 가진 특성때문에 그 치료가 너무나도 어렵습니다. 때문에 이 바이러스에 감염된 사람들은 컴퓨터에 대한 지식의 여부를 떠나서 굉장히 곤란한 상황에 처하게 된다고 합니다.

그래서 오늘 저는 화제가 되고 있는 랜섬웨어란 녀석이 어떤놈인지, 어떻게 치료할 수 있는지 한번 알아보고자 합니다.

 

랜섬웨어란?

 

랜섬웨어는 두가지 종류가 있습니다. 시스템상의 문제나, 정품이 아니라는 등의 허위 메시지를 띄우거나 화면을 잠궈서 결제를 요구하는 방식, 요즘 활발하게 활동중인 방식인, 대놓고 파일들을 암호화시켜놓고 복구를 원하면 돈을 내놓으라는 날강도같은 방식이 있습니다. 영어를 아시는 분이라면 이미 아시겠지만 이름도 Ransom(몸값) Ware(프로그램?)이지요.

 

랜섬웨어 치료가 어려운 까닭 종류가 너무나도 많다는 것에도 있지만, 근본적인 이유는 파일의 암호화 방식의 변화가 가장큰 이유로 자리하고있답니다. 랜섬웨어는 일단 감염된 후에는 바이러스를 찾아서 삭제해도 암호화된 파일은 되돌아 오지 않는다는 특징을 가지고 있습니다. 암호화된 파일을 다시 복구하기 위해서는 바이러스를 만든 사람이 제공하는 해독코드를 구매하여 해결하거나, 암호방식을 분석해서 직접 복호화 하는 방법밖에는 없는데, 이전에는 '대칭키 암호화 방식' 을 사용해왔었기 때문에, 악성코드의 분석을 통해서 그 해독코드를 추출해 낼수 있었는데, 최근 개발된 랜섬웨어들은 파일을 암호화할때 '비대칭형 암호화 방식'이라는 새로운 방식을 적용하기 시작했습니다. 문제는 이러한 방식으로 암호화 된 파일들은 악성코드를 분석해도 해독을 위한 '개인키'를 알아낼 수가 없다는 것입니다.

이러한 특성때문에, 미국의 수사기관들도 이 해독키를 알아내고, 수사에 필요한 정보를 얻기위해 결제를 했다는 소문도 있습니다.

 

치료방법

 

인터넷에서 랜섬웨어 치료나 랜섬웨어 복구를 키워드로 검색을 하면, 복구업체들의 광고가 많이 보입니다만 조심하셔야 합니다..

하지만, 위에 최근의 랜섬웨어들의 특성을 설명한 글을 읽어보신 분이라면 아시겠지만, 복구업체라고 하여도 특별히 암호키를 알아낼 수단은 없다고 합니다. 대부분 여러분의 혼란스러운 상황을 악이용하여 사기를 치거나, 국내에서 유명한 몇몇 랜섬웨어에 대한 치료가 대부분이라는 거죠.

제가 여러분에게 소개해 드릴 방법은 카스퍼스키에서 제공하는 랜섬웨어 전용 복구 유틸리티를 이용하는 방식입니다. 소식에 따르면, 미국 수사기관과 협력하여 여러 랜섬웨어들의 '비대칭형 암호화 방식'의 개인키를 확보하는 방식으로 복구 프로그램을 만들었으며 지속적으로 업데이트 중이라고 합니다. 안랩에서도 비슷한 유틸리티가 제공되고 있다고 들었지만, 좀더 프로젝트가 활발히 진행되고 있는 프로그램을 선택하였습니다.

(그럼에도 불구하고 복구확률은 100%가 아닙니다. 랜섬웨어는 지금 이시간에도 새로 탄생하고 있으니까요)

 

서론이 길었습니다. 지금부터 여러분들에게 랜섬웨어 치료와 복구를 위한 과정을 소개하겠습니다.

전체 과정은 다음 순서로 진행됩니다.

1. 랜섬웨어 바이러스 제거

2. 복구를 원하는 암호화 파일 수집

3. 암호화된 파일 해독

 

1. 랜섬웨어 바이러스를 제거하자

 

 

파일들을 복구하기 이전에 파일들을 암호화 시킨 원흉이 바이러스를 먼저 제거해야합니다.

여러분이 랜섬웨어 바이러스에 감염된 가장 주요한 이유는 바이러스를 막아줄 제대로 된 보안 체계가 부실했다는 점이겠지요. 지금 여러분의 컴퓨터에 설치된 백신프로그램은 안전하지 않은겁니다. 당장 삭제하고 위 백신으로 대체하시기를 추천드립니다. 백신은 아래 링크를 통해 이동하셔서 아래로 살짝만 내리면 다운받을 수 있습니다.

 

Kaspersky Internet Security 를 다운로드 하러 가시려면 여기를 클릭하세요 . . . . .

 

백신을 설치하신 뒤, 컴퓨터를 정밀검사하여 설치된 멜웨어들을 전부 치료해 주시면 됩니다.

 

2. 복구를 원하는 암호화 된 파일들을 찾아서 한 폴더에 모아줍시다.

 

랜섬웨어로 인하여 암호화 되어 실행이 불가능한, 복구를 원하는 파일들을 찾아서 하나의 폴더에 모아줍니다.

 

3. 랜섬웨어로 암호화된 파일들을 복구해 봅시다.

 

 

여기서 여러분들에게 유명 백신개발 회사 '카스퍼스키'의 랜섬웨어 복구툴인 CoinVault를 소개하겠습니다.

다운로드는 아까 위에서 링크걸어준 카스퍼스키 인터넷 시큐리티를 다운로드 받는 곳에서 다운로드 할 수 있습니다만, 편의상 다시 링크를 걸어드리겠습니다.

 

CoinVault 를 다운로드 하러 가시려면 여기를 클릭하세요 . . . . .

 

 

그럼 이제부터 본격적으로 복구를 시작해 보겠습니다. CoinVault는 다운로드 받으셨나요?

아마, 압축파일을 다운받으셨을 겁니다. 파일의 압축을 해제해 주시고 exe파일을 실행해 주시기 바랍니다.

 

 

위 사진처럼 뜨면, 정상적으로 다운로드 받으신 겁니다. 스캔을 시작하기 전에 몇가지 설정을 변경해 주어야 합니다.

 

 

Change parameters를 클릭하여 설정을 변경하러 가봅시다.

 

 

1번 옵션은 검색범위를 폴더 단위로 변경하는 옵션입니다. 이글을 보고 계시는 분이라면 모두 적용해주세요.

2번 옵션은 선택 사항입니다. 하지만 주의하십시오. 복구를 원하는 파일을 복구하면, 암호화 된 파일은 없애고 복원된 파일을 그 자리에 대신시키는 옵션입니다. 2번 옵션을 적용하지 않는 경우에는, 암호화된 파일은 그대로 두고 복원된 파일이름에 decryptedKLR 이 붙어서 암호화 된 파일옆에 저장되게 됩니다. 예를 들면 아래와 같은 형식이지요.

IMPEL의 거래장부.txt -> IMPEL의 거래장부.decryptedKLR.txt 의 형식으로 저장이 됩니다.

 

2번 옵션을 지정하게 되면, 복구에 성공하였을때는 나중에 이름을 수정해 줘야하는 수고가 줄어들지만, 실패하였을 때에는 경우에 따라 암호화된 파일 자체에 영향을 끼쳐서 영영 복구가 불가능 해질 수도 있습니다.

때문에, 2번 옵션을 지정하시려는 경우에는 스캔을 할 영역에 대해서 복사본을 만들어 놓고 지정하시는 것을 추천드립니다.

 

 

원하는 대로 설정을 적용하셨다면, Start scan을 눌러주세요.

 

 

아마 이런창이 뜰겁니다.

"나는 선택한 폴더안에 있는 놈들은 모조리 갈궈서 작업쳐버릴거니까 니들은 폴더 하나에다가 직접 복원을 원하는 파일들만 모아서 넣어둬야한다" 이런뜻이니 숙지하고 Continue를 눌러주시면 됩니다.

 

 

감염된 파일들이 모아져 있는 폴더를 찾아서 선택해주고 확인을 눌러줍니다.

이후로는 암호화된 파일의 해독키를 스캔하여 복구하는 동안 기다려주시면 됩니다.

 

이상으로 랜섬웨어 치료와 암호화된 파일 복구를 시도하는 과정이었습니다.

 

예방 및 대처 방법

 

 

랜섬웨어는 이제 여러분들도 잘 아시다시피 감염되기 전에 예방하는 것이 가장 중요합니다. 그리고 혹시라도 감염이 되었다면, 사용중인 백신을 즉시 변경하시는 것을 추천드립니다. 저는 유료백신을 사용하는데, 백신이 알아서 사이트나 바이러스를 차단하여서 최근 1년간 수많은 바이러스들이 판을 쳤지만, 바이러스에 감염되어 본적이 없답니다.(자랑)

그리고 위 자료를 참고하셔서 위 사항에 해당하는 조항은 가급적 피해주시는 것이 좋습니다.

 

또한, 바이러스에 감염된 징후가 보이면 그 즉시 랜선을 뽑아서 내부 네트워크를 통한 확산을 막으셔야 합니다. 랜섬웨어 바이러스의 경우에는 감염이 된 컴퓨터뿐아니라, 그 컴퓨터가 속해 있는 네트워크를 통해 이동해 확산되기 때문입니다. 사내망이 구성되어있는 직장이 랜섬웨어의 주요한 공격대상이 되고 있는 것도 이러한 이유에 있답니다.

 

 

도움이 되었나요? 그럼 저는 여러분들이 바이러스 없는 깨끗한 컴퓨터 환경을 만드시길 바라며 이만 가보도록 하겠습니다.

반응형