꿈을꾸는 파랑새

오늘은 랜섬웨어 CTB-Locker 제거 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 해당 CTB-Locker은 해외에서 발송이 되는 스팸메일로써 해당 스팸 메일에 첨부된 파일을 실행했으면 악성코드가 감염되어서 개인 파일 등인 사진, 문서파일 등이 암호화가 이루어지는 과정을 거치게 되고 해당 암호화를 통해서 금전을 요구하게 되어 있어서 사용자들의 피해가 발생을 하는 랜섬웨어 입니다.

일단 지난 시간에 랜섬웨어 예방 방법에 대해 설명을 드린 적이 있었는데 해당 글을 참고 하시면 해당 랜섬웨어및 기타 악성코드에 감염되는 확률이 줄어들 것입니다. 일단 해당 CTB-Locker은 작년 2015년1월부터 발견이 되었고 유포가 되고 있습니다. 일단 해당 CTB-Locker에 감염이 정상적으로 이루어지면 악성코드는 임의적인 이름으로 실행파일을 TEMP 폴더에 자신의 저장을 하게 되는 과정을 거치게 됩니다.

그리고 사용자가 로그인해서 실행을 시켜주면 실행작업일정에 숨겨진 임의적인 이름으로 작업을 생성됩니다. 그리고 자세한 instructiosn을 포함한 내문서/AllFileAtreLocked<사용자 이름>.bmp로 배경화면을 변경하게 되고 마직만으로 내문서/DecryptAllFiles<사용자 이름>.txt라는 파일을 작성하게 돼 있습니다.

그리고 내문서에 있는 파일 또한 암호화되어서 몸값을 지급하라는 경고 메시지를 볼 수가 있게 출력을 합니다. 그리고 결제를 하도록 유도를 하고 있으면 암호화된 파일의 목록을 확인하려면 View 버튼을 사용자가 클릭하도록 하고 있습니다.

그러면 바탕화면에 언급한 친절한? 결제 안내와 암호화 처리가 돼서 인질이 된 파일을 볼 수가 있습니다.

[보안(Security)] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

북구방법은 아래와 같습니다.
1. 백업
CTB-Locker은 암호화할 때 먼저 복사본을 만들고 복사를 암호화하고 원본을 삭제한 것처럼 보입니다. 이를 이용하면 파일 복구 프로그램을 사용할 수가 있습니다.

[소프트웨어 소개(Software)] - 무료 하드디스크 백업 프로그램-AOMEI Backupper Standard Edtion

[소프트웨어 팁(Software Tip)] - Windows 7 시스템 이미지 백업하기!

2. 파일 복구 프로그램 사용
이때 사용을 할 수가 있는 프로그램으로는 R-Studio또는Photorec를 통해서 복구할 수가 있으면 사용자가 미리 외장 하드디스크 같은 곳에 백업해둔 것이 있다면 해당 부분을 이용하는 방법도 있습니다. 물론 이를 해결하려면 백신프로그램(안티바이러스 프로그램)을 이용해서 미리 CTB-Locker를 제거하고 실행을 해야 할 것입니다.

3. Windows 이전 버전 복원 사용
일단 해당 기능을 사용하려면 시스템 복원에서 해당 CTB-Locker에 감염되기 전에 시스템 복원 구성이 만들어져 있어야 합니다. 그렇지 않으면 악성코드만 다시 복구하는 사태만 반복되기 때문입니다. 일단 간단할게 해당 폴더에서 마우스 오른쪽 버튼을 눌러주고 속성을 눌러줍니다.

그리고 보시면 이전 버전 복원이 있을 것입니다. 해당 부분을 통해서 감염되기 이전으로 돌아가는 방법 아니면 지난 시간에 가르쳐 드린 카스퍼스키 복구도구를 이용하는 방법도 있습니다.

[보안(Security)] - CoinVault,Bitcryptor 무료 랜섬웨어 암호화 파일 복구 툴-Kaspersky CoinVault Decryptor

아니면 개인적으로 이웃블로그이기도 한 벌새 님이 임시로 추천하는 방법인 중요파일 폴더를 읽기전용으로 선택하고 나서 이 폴더, 하위 폴더 및 파일에 변경사항 적용을 하는 방법도 있습니다.

울지 않는 벌새님 글


728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band