고객 오피스 컴이 또 CryptoLocker 바이러스(HOW-TO-RESTORE-FILES~)에 걸려서 결국 또 포맷했네요. 블록

이번에 두번째로 다른 XP 컴에서 또 감염이 되어서 웹 영문 문서에서 해결방법을 찾았지만 암호화된 xls,doc,hwp 파일 등을 복구할 수 없다고 해서 결국 해당 컴을 포맷하고 윈도우즈7으로 재설치 했습니다. 아래와 같은 참고 사이트가 있지만 decrypt key를 보내준다는 사이트는 해보지 않았고 고객분이 힘들게 완성한 중요한 문서들이 USB까지 다 감염되는 바람에 피해가 컸네요. 고객분께는 아래의 문서를 참고로 주의할 점을 알려드렸구요 혹시나 비슷한 피해를 입으신 분들을 위해 스크랩한 내용을 싣습니다. 출처도 아울러 표시합니다. 두번째 출처 정보에서 감염경로 부분을 유심히 살펴보세요. 이메일 exe 첨부파일 형태로 감염이 된답니다. 요새 이 랜섬웨어가 아주 엄청나게 창궐을 하네요. ㅡ_ㅡ;
=============================================================================

출처1: http://yspc.kr/bbs/board.php?bo_table=free&wr_id=17

국내 온라인 커뮤니티 사이트 '클리앙'에 랜섬웨어 크립토락커(CryptoLocker) 바이러스가 유포되는 사건이 발생했다.

21일 클리앙 측은 공지 사항을 통해 "21일 새벽부터 11시까지 클리앙 커뮤니티가 바이러스가 감염되어 악성코드가 유포됐으며 클리앙에 익스플로러로 접속하신 분들은 감염되었을 가능성이 높다"고 밝혔다.

현재 바이러스는 제거되어 악성코드는 유포되고 있지 않으며 클리앙 측은 바이러스에 감염된 사용자들을 위해 조치 방법을 링크로 제공하고 있다. (CryptoLocker 바이러스 삭제 방법)

계속 추가 예정

현재 진행중입니다...

일단 당황하지 마시고 컴퓨터 끄세요.

1.재부팅 후 f8 눌러서 윈도 부팅 옵션을 고름

2.안전모드 with 네트워크로 부팅

3.구글로 trendmicro cryptolocker removal tool 검색하거나 다음 링크에서 제거 툴 다운로드

http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3136/goz-and-cryptolocker-malware-affecting-users-globally

자신의 os버전에 맞는 버전으로 다운로드(32bit, 64bit)

링크 추가

http://www.trendmicro.co.kr/kr/security-intelligence/anti-threat-toolkit/

4. 다운로드 완료후 파일 실행. 저는 한 20분 걸렸습니다. 랜섬웨어 제거완료.

5. 일반 모드로 재부팅.

6. cryptolocker는 제거되었을 것입니다. 파일 백업 하세요. encrypted도 일반 백업.

임시 확인 사항

(1) xls, ppt, doc, pdf는 암호화 됨. hwp파일의 경우 저 파일과 같은 폴더의 경우 암호화. 별도 폴더의 경우 비암호화(살아있음)

(2) png파일은 안걸림. 급한 이미지 파일의 경우 jpg는 png로 확장자 바꿔놓으세요^_^;

(3) decrypolocker.com에서 파일을 업로드 하면 '알려진 키'의 경우 복구 툴을 보내줍니다. 현재 진행중인데 아직 안 왔네요.

추가

(1) https://decryptcryptolocker.com/

여기에 이메일과 감염된 파일 샘플을 보내면 해당 메일로 RSA_2048키가 옴. 해당 키가 수사 및 연구중.

지금 건 안되도 기다리면 키가 계속 추가됨. 그러므로 나중에라도 살릴수 있음.

추가1. ie에서 파일 올리면 무한한 시간이 걸림

추가2. 크롬에서 올리면 크립토락커 파일이 아니라고 함. 한국형 변종 파일 같네요.

(2) 위에 trendmicro attk로 검색이 가능합니다. 리무벌만 하는게 아니므로 검색에도 이용하세요.

(3) 구글 드라이브, 네트워크 매핑 드라이브 모두 파일 변형 됩니다.
=============================================================================

출처2: http://blogto.tistory.com/524

크립토락커(CryptoLocker)는 PC에 저장된 파일들을 암호화 시켜 잠가버리기 때문에 파일에 접근할 수
없게 합니다.
실질적인 문제는 감염 된 후 감염 사실을 알고 안티바이러스/보안 프로그램을 사용해서 CryptoLocker 를 삭제/제거했다 해도 그 사이에 CryptoLocker 에 의해 이미 암호화 되어 잠긴 파일들을
풀 수 없다는 부분입니다.


이미 잠긴 파일에 대한 해결책은 데이터를 백업했다면 백업한 데이터를 복원하는 거고 아니라면 잠긴 파일들을 포기하는 겁니다. 그외에 잠긴 파일을 풀 수 있는 방법은 악성코드 제작자의 의도에 따라 가상화폐(비트코인)를 지불하는 방식으로 패스워드를 받아 잠겨진 파일을 푸는 방법뿐이 없죠. 그럼 정말 지불하면 잠긴파일을 풀어주는가? 가 의문일텐데 일단 현재까지 풀어주기는 한다고 하지만 아닌 사례도 있습니다 또한 데이터가 훼손이 되어서 잠긴 파일이 풀리지 않는 경우도 있고 여러 경우가 있다고 합니다 따라서 기업에서 데이터를 백업하는 것이 중요하고 필수적이며 개인 사용자는 보안지식과 의식을 가지고 예방하는 게 최선입니다.

Update:
decryptcryptolocker.com 라고 Cryptolocker Ransomware 를 무료로 복구할 수 있는 서비스를 제공하는 곳이 있습니다. 100% 가능한 건 아니지만 시도는 해볼만하겠죠. 자세한 사항은 이곳을 참고:
- Cryptolocker 랜섬웨어(Ransomware)로 암호화된 파일 무료 복구 서비스

Update2: Kaspersky Ransomware Decryptor Decrypt your files being held hostage by Coinvault ransomware

일례로 얼마전 미국 메사추세스 경찰 PC들이 CryptoLocker 에 감염되어진 적이 있는데 FBI의 조언에 따라 가상화폐(비트코인)를 지불하는 황당한 일이 벌어지기도 했죠. (US police force pay bitcoin ransom in Cryptolocker malware scam) 보안업체들은 이런 지불을 하면 안된다고 강력히 반대하는 입장이지만 일단 당장 잠긴파일을 풀려면 무슨 해결책이 있는 것도 아닙니다. 될 수 있으면 응대를 하지 않아야 이런 종류의 악성코드가 더 이상 활계를 치지 않겠죠. 지불과 동시에 FBI가 추적을 했겠지만 이 사례를 보아도 주기적으로 백업을 하지 않는다면 잠겨진 파일은 포기하는 게 낫겠죠. 여기서 알 수 있는 게 기업이나 관공서 IT 부서에 제정신을 가지고 일을 한다면 백업 서비스를 반드시 사용하고 email 첨부파일에서 exe 파일들은 기본적으로 필터링 했겠다 싶습니다.

개인 사용자의 경우 주기적인 백업을 하는 경우는 그리 많지 않다고 봅니다 개인 PC 로 일을 하는 경우 그리고 작업을 하다 데이터에 문제가 생겨 멘탈이 붕괴 된 경우에 성실히 백업을 하는 분들이 있기는 하겠지만 대다수의 경우 안 하죠.

현재까지 CryptoLocker 악성코드 주요 전파 방식과 경로는 email 첨부파일 형태입니다. (웹 브라우저, Java, Flash Player, OS 취약점등을 사용하지 말라는 법도 없지만) 주 타겟이 데이터가 중요하고 돈을 지불할 기업쪽이고 사회공학적 기법(간단히 말해 사람의 심리를 이용해서 실수를 유발시키는)을 사용하기에 사용자가 약간의 주의만 기울여도 감염 될 확율이 내려가겠죠. 회피를 위해 Zip이나 Rar로 된 압축 파일의 경우 압축파일안에 exe 파일이 있다면 일단 실행하지 않는 게 좋습니다.

[email 제목 예]
Payroll Invoice, FW: Check copy <- 직장인들이라면 열어보게 되는 제목
Symantec Endpoint Protection: Important System Update - requires immediate action <- 유명 보안업체를 사칭해서 파일을 실행시키게하는데 특히 자신이 사용하는 소프트웨어 업체일 경우에 의심없이 실행하지만 일반적으로 어떤 보안회사도 email에 파일을 동봉해서 보내지 않음.

개인적으로 Windows 에서 안 좋게 보는 게 파일 확장자를 기본적으로 숨긴다는데 있습니다.

보이는 모습은(아이콘) 일반 문서 파일이나 영상파일 같지만 알고보면 실행파일(exe)인 경우가 많다는거죠.
CryptoLocker 뿐만이 아니라 일반적으로도 파일확장자 확인만 잘 해도 악성코드 감염을 피할 수 있습니다. Windows 사용자는 반드시 파일확장자를 표시하게 설정하기 바랍니다.

[예]

회의문서.pdf.exe
회의문서.zip.exe
회의영상.avi.exe
voicemail.exe
fax.zip.exe
invoice.doc.exe
Payroll invoice.exe
pt.avi.exe
Payroll invoice.scr

이렇게 받고 보니 exe 나 scr 파일의 경우 99%가 악성코드니 그냥 삭제해버리면 됩니다.


Windows 7 파일확장자 표시하기


단축키 (Window 키 + E ) 사용 탐색기를 오픈



폴더 및 검색 옵션 -> 보기


체크 해제: 알려진 파일 형식의 파일 확장명 숨기기 ( Hide extensions for known file types ) - 그림처럼 체크가 된 상태가 아니어야 합니다. 

체크: 숨김 파일, 폴더 및 드라이브 표시 ( Show hidden files, folders, and drives )


Windows 8 파일확장자 표시하기

단축키 (Window 키 + E ) 사용 탐색기를 오픈 파일 -> 옵션 -> 폴더 및 검색 옵션.
나머지는 Windows 7 과 동일


CryptoLocker 참고하면 좋은 글

- [itworld] 크립토로커 지옥에서 탈출하기 위한 최선의 방법은...백업과 복구 뿐

- [영문] CryptoLocker Ransomware Information Guide and FAQ


기본적으로 지켜야 할 것

- Windows 보안 업데이트를 항상 적용 해주어 최신의 보안패치가 된 상태를 유지.
- 최신 버전의 웹 브라우저 사용.
- 웹 브라우저의 Adobe Flash player (웹 페이지를 보면 McAfee나 기타 유틸에 대한 설치에 yes 표시가 체크되어 있을 경우 반드시 체크 해제하고 설치) 그리고 Adobe PDF Reader, Java등을 설치해서 이용하고 있을 경우 항상 최신버전을 사용. 구글 크롬 웹브라우저 같은 경우는 Flash Player 가 내장형이라 크롬 최신버전을 사용 중이라면 이미 Flash player 최신버전을 사용하는 중인 것임.
- Java가 필요없거나 Java가 무언지 어디에 사용되는지 잘 모르는데 이미 PC에 설치 된 상태라면 아예 제거(언인스톨)하는 게 좋습니다.
- 자신이 설치하는 프로그램, 웹브라우저 확장기능이 신뢰할 만한 곳에서 다운로드 받은 건지 무엇을 설치하는지 확실히 인지하기.
- 보안 소프트웨어 사용. (여러개 설치할 필요 없이 1개만 설치) 

백신소프트웨어가 CryptoLocker 를 탐지하는가?
현재 대다수의 보안 소프트웨어가 CryptoLocker 를 탐지하지만 변종 악성코드가 계속 나오고 있는 중이기에 예방을 위해서는 항상 보안 소프트웨어 데이터 베이스를 최신으로 업데이트해서 사용해야 합니다.


[예를 들어 이런 진단명으로 탐지]
Microsoft : Trojan:Win32/Crilock
Kaspersky : Trojan-Ransom.Win32.Blocker.cfwh
ESET-NOD32 : Win32/Filecoder.BQ
Malwarebytes : Trojan.Ransom
Avast : Win32:Ransom-AQL


■ 크립토락커 제거 툴
알려진 크립토락커를 제거할 수는 있지만 감염된 파일(암호화 된 파일)을 복구하는 것은 아닙니다.


트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)
윈도우 부팅시 키보드에서 F8 버튼을 눌러 윈도우 부팅 옵션에서 ‘안전모드 with 네트워크’로 부팅을
한 후 트렌드마이크로 위협 제거 툴 파일을 실행
합니다.

Malwarebytes Anti-Malware *Free (Free version download 선택)
한글을 지원하기 때문에 설치시 한글을 선택하면 모든 메뉴를 한글로 사용할 수 있어 편리합니다. 무료(Free) 버전은
실시간 감시 기능이 없기에 백신과 충돌 위험이 없습니다. 수동 검색 성능과 치료는 유료와 동일합니다. 


*설치 후 처음 실행하면 일정기간 동안만 전체 기능을 사용하는 평가판(Trial)으로 사용할지 물어보는데 평가판(Trial)으로
사용 할 필요 없습니다. 평가판 사용을 선택하지 말고 그냥 무료버전으로 사용하세요. 위 그림은 영문버전 설치과정인데 반드시
Decline을 선택해야 무료버전인 on-demand scanner로서 사용가능 합니다. (무료버전도 검색과 치료 모두 가능)
*[추가] 버전 1.62의 경우 이전 버전과 좀 다르더군요. 설치시 구글 툴바와 마지막에 Malwarebytes
Anti-Malware Pro 시험판(기간제한이 생김) 사용여부에 체크를 하지 말아야 합니다.


덧글

  • PFN 2015/12/10 18:42 # 답글

    - Windows 보안 업데이트를 항상 적용 해주어 최신의 보안패치가 된 상태를 유지.

    - 최신 버전의 웹 브라우저 사용.
  • 아재 2015/12/10 19:20 # 삭제 답글

    XP는 그렇다치고 업무할 때 깔아주는 윈도우7 정품 맞는교? 그거 다 불법 아닌교?
  • asdf 2015/12/10 20:09 # 삭제

    본인이 정품을 안사는데 손님한테 정품을 권할리가.
  • 절망의빛 2015/12/10 21:04 # 삭제 답글

    왜 고객 컴에 xp를 깔아줘서.. 그 고객은 뭔 죄여..

    그 전에 이런 사람에게 pc를 맡기게 하다니
  • 아이고 2015/12/10 21:15 # 삭제 답글

    그놈의 xp 진짜
  • 나인테일 2015/12/10 22:14 # 답글

    XP는 단언컨대 가장 완벽한 OS입니다.
  • 시로네코 2015/12/10 23:18 # 삭제 답글

    'ㅎㅁㅇㅂ 아 니 CPU 64비트인데 왜 구닥다리 32비트 쓰냐?
    win xp 64비트 지원되니까 이걸 써야지 성능 더 좋아짐'
    http://kkh32490.blog.me/140194319924
  • 시로네코 2015/12/10 23:22 # 삭제

    영알못이라면 나는 몰랑 ㅇㅅㅇ
  • 나인테일 2015/12/11 04:26 #

    64비트는 호환성을 떨어뜨리는 돈벌이 수단이라 안 됩니다. ㅋ
  • OrangeBelt 2015/12/11 01:54 # 답글

    요즘 다 방범 자물쇠 쓰는데
    이분은 아직도 짚울타리로 방범하십니다 그려
    고객님이라는 사람이 불쌍할 뿐이네요
    지인이 잘모르는데 신념이 굳으면 꼭 피해가 생깁니다
  • 오오 2015/12/11 06:46 # 답글

    전에도 말씀드렸듯이 지금대로 밀고나가시다가는 조만간 본인이 랜섬웨어에 털리시는 모습이 나올 것 같은데...
  • 희망의빛™ 2015/12/11 07:18 # 답글

    크립토락커를 방지해 주는 툴이랍니다. 한번 해 보십시요. 전 아직 설치해 보지 않았습니다. 좋다는 평가가 있네요.

    http://intumyself.tistory.com/136
  • 정의의반사 2015/12/11 08:05 # 삭제

    그런 거 써 봤자 윈도우 XP 쓰신다면 결국 다시 감염될 겁니다. 보안 패치가 끊긴 OS와 웹 브라우저를 쓰면서 '크립토락커를 방지해 주는 툴'에만 의존하는 것은 마치 추운 겨울 잠옷만 걸치고 베가R3과 문방구표 핫팩만 들고 등산하는 데 감기 안 걸리기를 바라는 것과 같습니다.
  • OrangeBelt 2015/12/12 06:00 #

    그러니까 님은 이미 국가가 포기하고 경찰 병력도 상주하지 않는 무법지대에 혼자 살아보겠다고 천막 치고 울타리 치면서 사방에서 달려드는 늑대들과 싸우면서 '왜 날 지켜주지 않나!' 라고 소리치는 거나 마찬가지 입니다. 이미 국가에서는 99.9% 의 사람들을 보다 안전한 곳으로 이주시켜 놓았는데 말이죠. 알박기라도 하셧나요?
  • ㄷㄷ 2015/12/12 16:01 # 삭제 답글

    다음차례는 님 컴임.
    되도 않는 걸로 전문가 행세하는 이에게는 걸맞는 결말일 듯.
  • 조현병도픙년 2015/12/14 10:19 # 삭제 답글

    ㅂㅅ같은 댁한테서 컴퓨터 관리받는 고객도 존나 불쌍하다. 심지어 돈까지 지불해야 하잖아? 완전 사기꾼이 따로없네 ㅅㅂ 존나 돈 아깝다. 이런게 쓸데없는 돈낭비라는거지
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


웹로그 검색