꿈을꾸는 파랑새

랜섬웨어라는것이 사용자의 컴퓨터를 악성코드를 감염을 시키고 그리고 해당 악성코드가 작동하면 사용자의 컴퓨터에 있는 문서 파일, 동영상, 사진, 음악 파일 등을 암호화해서 사람들에게 경고메시지를 보여주고 해당 암호화된 파일로 변경해서 사람들에게 가상화폐인 비트코인을 입금을 해주면 해당 파일들을 풀 수가 있는 복원화 도구를 제공하면서 이익을 챙기고 있습니다. 물론 복원화 도구를 제공하지만 100% 복구가 된다는 보장과 그리고 돈만 받고 사라지는 경우 등 여러 가지가 있습니다. 오늘은 2015년 상반기부터 세계적으로 유포되고 있는 Ransomeware(랜섬웨어)인 CrySis 랜섬웨어 또는 Troldesh 랜섬웨어는 사용자 컴퓨터에 있는 파일들을 암호화해서 비트코인 같은 금전적인 부분을 요구하고 있고 이 때문에 피해가 많이 발생을 하고 있습니다.

그런데 어느 날 갑자기 cess7777이라는 닉네임을 사용하는 분이 해당 CrySis 랜섬웨어에 대한 암호화 된 파일 복구할 수가 있는 CrySis 랜섬웨어 마스터키를 공개했고 이를 바탕으로 러시아 보안 업체인 Kaspersky(카스퍼스키)에서는 Kaspersky RakhniDecryptor 배포를 하고 있습니다. 일단 CrySis 랜섬웨어 특징은 다음과 같습니다. 일단 Kaspersky(카스퍼스키) 제품에서는 Trojan-Ransom.Win32.Rakhni이라는 진단명으로 검색되고 있으면 해당 CrySis 랜섬웨어은 간단하게 다음과 같이 파일을 암호화합니다.

파일 이름 원래 확장자명.(locked):(ファイル名).(元の拡張子).(locked)
파일 이름 원래 확장자명.(kraken):(ファイル名).(元の拡張子).(kraken)
파일 이름 원래 확장자명.(darkness):(ファイル名).(元の拡張子).(darkness)
파일 이름 원래 확장자명.(nochance):(ファイル名).(元の拡張子).(nochance)
파일 이름 원래 확장자명.(oshit):(ファイル名).(元の拡張子).(oshit)
파일 이름 원래 확장자명.(oplata@qq_com):(ファイル名).(元の拡張子).(oplata@qq_com)
파일 이름 원래 확장자명.(relock@qq_com):(ファイル名).(元の拡張子).(relock@qq_com)
파일 이름 원래 확장자명.(crypto):(ファイル名).(元の拡張子).(crypto)
파일 이름 원래 확장자명.(helpdecrypt@ukr.net):(ファイル名).(元の拡張子).(helpdecrypt@ukr.net)
파일 이름 원래 확장자명.(pizda@qq_com):(ファイル名)(元の拡張子).(pizda@qq_com)
즉 암호화가 된다고 하면 예를 들면 사랑해.doc.locked이라는 파일로 변경됩니다. 이렇게 암호화가 되었으면 카스퍼스키에서 제공을 하는 프로그램을 통해서 간단하게 실행을 하면 파일 복호화를 진행할 수가 있습니다.

카스퍼스키 CrySis 랜섬웨어 파일 복구툴

그리고 초반에 유포된 버전 같은 경우에는 복구되지 않을 수가 있으면 최근에 유포되고 있는 CrySis 랜섬웨어에 대해서는 복구가 되고 있습니다. 그리고 이런 랜섬웨어등을 포함한 악성코드에 감염되지 않는 방법은 간단하게 백신프로그램(안티바이러스 프로그램) 사용과 그리고 윈도우 업데이트는 귀찮더라도 반드시 업데이트를 하고 사용을 하면 자신이 사용하는 프로그램은 최신상태에서 사용하는 것이 그나마 피해를 최소화를 할 수가 있을 것입니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band