침해시 대처방법
- 침해시 바로 확인
- PC가 버벅대며, 트레이 아이콘위치에 방화벽이 꺼지는 메시지가 표시됨을 확인
- PC의 전원을 종료
랜섬웨어 감염과 동시에 확인될 경우 해당 OS를 운영체제에서 랜섬웨어가 동작하므로 PC를 강제적으로 종료하여 추가적인 파일 변조 방지
- 해당 Disk를 분리하여 감염되지 않은 백신이 설치된 PC에 Disk를 연결하여 해당 Disk 바이러스 검사 /치료
- 감염되지 않은 파일을 확인하여 다른 저장 장치로 복사
- PC의 전원을 종료
- Windows 시스템 보호 기능을 사용한 경우손상을 입은 파일 일부도 이전 상태로 되돌릴 수 있습니다.
- Windows 시스템 보호 기능을 사용하지 않은 경우해당 Disk는 OS를 새로 설치하여 사용하는것이 안전 합니다.
- 침해 파일 위변조 후 확인
- 보유 파일들이 모두 암호화 되고, 폴더마다 3~4개의 암호화 안내 파일이 있음을 확인.
- 인터넷 연결 차단
내부 내트워크의 2차감염 방지
- 감염이 의심되는 E-Mail의 첨부파일, 웹 링크 등을 센터에 제보 후 삭제
- Windows 시스템 보호 기능을 사용한 경우 손상을 입은 파일 일부도 이전 상태로 되돌릴 수 있습니다.
내 컴퓨터 > 속성 > 좌측 매뉴 시스템 보호 > 사용 가능한 드라이브에 설정으로 표시된 드라이브가 있을 경우 이노티움으로 문의하여 주시면 해당 드라이브의 구성이 만들어진 제일 마지막 내용을 복원할 수 있습니다.
- 인터넷 연결 차단
- 시스템 보호기능 활성화시 복호화 안내
- 시스템 보호기능 설정여부 확인
- 속성
- 시스템 보호
- 보호설정
- 설정이 된 경우 다운링크 ShadowExplorer-0.9-portable.zip 파일을 다운로드 합니다. 다운로드
- 압축을 해제하고 ShadowExplorerPortable.exe 파일을 실행 합니다.
- 파일을 실행하면 아래와 같은 UI가 나타납니다.
- 시스템 보호기능 설정 된 드라이브를 선택 합니다.
- 시스템 백업된 날짜중 최근 백업 날짜를 선택 합니다.
- 데이터 폴더 경로로 이동하여 일부 폴더를 Export명령을 통하여 데이터를 복호화 합니다.
- 복호화 후 파일을 열었을 때 파일내용이 정상적으로 보여지면 해당 날짜 시점으로 모든 데이터를 복호화 합니다.
Windows 시스템 보호기능의 경우 100% 복원이 가능하지 않을 수 있으므로, 백업 솔루션 사용을 권장 합니다.
- 시스템 보호기능 설정여부 확인
만약 PC등을 감염시킨 랜섬웨어가 CryptoLocker라면 https://decryptcryptolocker.com/를 방문해 보시기 바랍니다.
- https://decryptcryptolocker.com/
- 위 사이트는 안티봇넷 바이러스 시스템을 개발, 판매하는 업체인 FireEye와 IT 보안업체인 Fox-IT가 제휴하여 CryptoLocker에 감염된 시스템의 파일을 해제하기 위해 무료키를 제공해주는 사이트입니다.
사이트 메인
- 1 메일주소를 입력합니다.
- 2 "Choose File" 을 눌러 감염된 파일 하나를 선택합니다.
- 3 로봇등의 프로그램 입력 방지를 위한 문자를 입력합니다.
- 4 "Decrypt it!" 버튼을 눌러 서버로 파일을 전송합니다.
- 만약 5와 같이 cookie 사용관련 문구가 보이면
- 6 "Accept" 를 눌러서 cookie사용을 허용해 주시기 바랍니다.
- 복구가 가능한 경우 입력한 이메일주소로 복구프로그램 다운로드 링크와 해독키를 보내줍니다.
- CryptoLocker에 감염된 파일이 아니거나 복구가 불가능할때는 다음과 같은 안내 화면이 나타납니다.
실행파일 이미지 - 해당 사이트의 안내에 따르면
- 이메일 주소를 마케팅에 사용하지 않습니다.
- 감염파일을 업로드할때 신상정보와 같은 민감한 내용이 있는 문서는 올리지 말 것을 권장합니다.
신종 또는 변형된 CryptoLocker에 의해 감염되었을 때는 복구가 안될 수 있습니다.