랜섬웨어 crypt 치료하기

말로만 듣던 렌섬웨어에 감염되었다.

렌섬웨어라고 검색하면 쉽게 말해서 일반바이러스와 다릅니다.

바이러스의 목적은 컴퓨터를 쓸수없게끔 하는것이라면

렌섬웨어는 돈을 목적으로 컴퓨터의 파일을 사용할 수 없게끔 확장자 뒤에 crypt라는것이 생성되고

해당 파일을 열수가 없게 됩니다.

 

랜섬웨어에 걸리면 밑에 보시는 사진처럼 컴퓨터 바탕화면에 대문짝만하게 팝업을 띄웁니다.

사실 개인PC의 경우에는 포맷하면 되지 뭐.. 라고 생각하시겠지만

회사의 고객에 대한 데이터베이스가 있는 파일이라던지

개인이라고 해도 사진이나 엑셀파일 등 모든 파일을 사용할 수 없게 됩니다.

 

 

 

이 악질적인놈들은 돈을 받고 렌섬웨어를 풀어주기 때문에

사진처럼 감염된 사용자의 퍼스털 ID를 보여주네요.

제 랜섬웨어는 파일은 RSA4096이라고 되어 있습니다. 랜섬웨어의 감염파일도 4096이외의 것도 있다고 합니다. 

 

 

즉 렌섬웨어 버젼별로 대처법이 다르다고 하는데요

우선 네이버에서 제공받은 랜섬웨어는 안되더라구요.

괜히 시간만 들였습니다. 그나마 가장효과적인 것이 카스퍼스키의 프로그램입니다.

 

http://support.kaspersky.com/viruses/utility

RannohDecryptor 파일을 다운로드 받아 사용하시면 됩니다.

2-3시간 걸려서 여기저기 검색도 해보고 방법을 찾아봤지만 자료복구는 저는 안되더라구요

 

전 이미 렌섬웨어에 감염되어 있을 경우 카스퍼스키의 파일을 다운로드 받아도

실행이 안되던데. 자세히 보시면 셋업파일 뒤에 다른확장자명이 붙어서 설치가 됩니다.

이름바꾸기를 하면서 exe 뒤에 있는 파일명을 삭제하시면 정상적으로 설치할 수 있습니다.

 

 

 

 

정상적으로 설치된 분은 먼저 감염파일과 원본파일을 비교해서 잡는 버젼이 있는데

저는 변종이라 원본파일이 있었지만 복구가 안되었습니다.

즉 실제 감염파일과 원본파일이 모두 있어도 파일이 다르다는 메세지가 나옵니다.

이런 메세지가 나오는 분은 변종에 감염되었다고 보시면 될것 같습니다.

렌섬웨어 복구툴은 계속해서 패치가 되니까 감염시점에 따라 복구가 되는분과 그렇지 않은분이 있으리라 생각이 됩니다.

 

혹시 D드라이브에 고스트를 설치하셨던 분들도 안되실건데요

저도 고스트로 백업을 만들어 놨는데도 자동복구가 안되었습니다.

이유인즉 고스트를 실행하는 C드라이브의 실행파일도 감염이 되어서 복구가 안되었는데요

 

고스트의 실행파일 5개를 기존 감염된 파일을 삭제하고 덮어쓰니까

정상적으로 고스트가 실행되며 복구가 되었습니다.

 

갑자기 랜섬웨어감염자 분들이 많이 생겨나고 있는것 같은데요

결국은 고스트 또는 주요자료는 백업을 받아두시고 작업의 결과파일은

웹드라이브 또는 외장하드를 사용해서 저장하는것이 정신건강 및 비용을 줄이는 방법이라는것을 새삼 깨달았습니다.