침해시 대처방법
※ 최근 유행하는 랜섬웨어는 시스템 보호 영역을 설정 하여도 보호 영역 모두를 삭제합니다.
침해시 바로 확인
PC가 버벅대며, 트레이 아이콘위치에 방화벽이 꺼지는 메시지가 표시됨을 확인
PC의 전원을 종료
- 랜섬웨어 감염과 동시에 확인될 경우 해당 OS를 운영체제에서 랜섬웨어가 동작하므로 PC를 강제적으로 종료하여 추가적인 파일 변조 방지
해당 Disk를 분리하여 감염되지 않은 백신이 설치된 PC에 Disk를 연결하여 해당 Disk 바이러스 검사 /치료
감염되지 않은 파일을 확인하여 다른 저장 장치로 복사
Windows 시스템 보호 기능을 사용한 경우
손상을 입은 파일 일부도 이전 상태로 되돌릴 수 있습니다.
Windows 시스템 보호 기능을 사용하지 않은 경우
해당 Disk는 OS를 새로 설치하여 사용하는것이 안전 합니다.
침해 파일 위변조 후 확인
보유 파일들이 모두 암호화 되고, 폴더마다 3~4개의 암호화 안내 파일이 있음을 확인.
인터넷 연결 차단
- 내부 내트워크의 2차감염 방지
감염이 의심되는 E-Mail의 첨부파일, 웹 링크 등을 센터에 제보 후 삭제
Windows 시스템 보호 기능을 사용한 경우 손상을 입은 파일 일부도 이전 상태로 되돌릴 수 있습니다.
- 내 컴퓨터 > 속성 > 좌측 매뉴 시스템 보호 > 사용 가능한 드라이브에 설정으로 표시된 드라이브가 있을 경우 이노티움으로 문의하여 주시면 해당 드라이브의 구성이 만들어진 제일 마지막 내용을 복원할 수 있습니다.
시스템 보호기능 활성화시 복호화 안내
시스템 보호기능 설정여부 확인
속성&시스템보호&보호설정
설정이 된 경우 ShadowExplorer-0.9-portable.zip파일을 다운로드 합니다.다운로드
압축을 해제하고 ShadowExplorerPortable.exe 파일을 실행 합니다.
파일을 실행하면 아래와 같은 UI가 나타납니다.
실행파일 이미지
시스템 보호기능 설정 된 드라이브를 선택 합니다.
실행파일 이미지
시스템 백업된 날짜중 최근 백업 날짜를 선택 합니다.
실행파일 이미지
데이터 폴더 경로로 이동하여 일부 폴더를 Export명령을 통하여 데이터를 복호화 합니다.
실행파일 이미지
복호화 후 파일을 열었을 때 파일내용이 정상적으로 보여지면 해당 날짜 시점으로 모든 데이터를 복호화 합니다.
※ 최근 유행하는 랜섬웨어는 시스템 보호 영역을 설정 하여도 보호 영역 모두를 삭제합니다.
※ Windows 시스템 보호기능의 경우 100% 복원이 가능하지 않을 수 있으므로, 백업 솔루션 사용을 권장 합니다.
CryptoWall4.02015-11-26 08:54:57
20151126_img01.png
침투 방식
• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등
• 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문
(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)
• 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함
(방화벽 장비 무용지물)
피해 범위
• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,
mp4, mpg, avi, wmv 외 40여가지 확장자)
• Cloud Drive, Local Disk, USB Driver, NetWork Drive
특징
• 파일의 파일명과 확장자를 랜덤한 영문과 숫자의 조합으로 변경
• 파일을 암호화한 폴더내에 3개의 파일을 생성 (HELP_YOUR_FILES.*)
• 파일명을 변경시키는 유일한 랜섬웨어
연혁
• 2014년 3월 CryptoDefense
• 2014년 6월 CryptoWall
• 2014년 10월 CryptoWall2.0
• 2015년 1월 CryptoWall3.0
• 2015년 11월 CryptoWall4.0
복원방법
• 해커에게 비용 지불 복원 가능(권장사항 아님)
* Temp 폴더의 파일을 암호화 하지 않음