WannaCryptor 랜섬웨어 - 제거하는 방법?

 

2017년 3 월 마지막 날에는 분명 크립토–바이러스 감염이 빈번하게 일어난 것으로 확인되었습니다. WannaCryptor, 별칭 WannaCry, 랜섬웨어 감염은 3 월 말, 대략 3 월 26 일 쯤에 처음 나타났습니다. 이는 이 바이러스를 만든 해커의 또 다른 제품의 추적을 가능하게 합니다. WcryWannaCryptor의 배경이 되는 첫 번째 바이러스였습니다. 두 가지 모두 꽤 최근의 것으로 (Wcry는 2017 년 2 월에 출현했습니다) 이들의 주요 목표는 분명합니다: 사람들의 돈을 빼앗기 위해 불명예스러운 전략을 사용합니다. 흥미롭게도, WannaCryptor 바이러스는 암호 해독기의 소스로 dropbox.com 링크를 남깁니다. 물론 모든 것이 그리 쉬운 것은 아닙니다. 사용자가 실행 파일을 다운로드하면, “Wanna” 테이블이 시작되고, 이 파일 복구 소프트웨어의 기능을 이용하려면 $300의 수수료를 지불해야 한다고 나타냅니다. 합계는 해커가 요구하는 통화로 약 0.28798 BTC입니다.

WannaCryptor 랜섬웨어 분석

WannaCryptor는 AES와 RSA 암호를 결합하는데, 이는 AES만 사용했던 Wcry와는 다른 방식입니다. 해커들은 더 정교하고 더 무서운 랜섬웨어를 생성하려고 합니다. 이 랜섬웨어의 대가에 대한 알림은 !Please the Read Me.txt!라고 불립니다. 이 알림은 상황에 대해 간단히 설명하고 파일의 암호 해독 소프트웨어를 다운로드 받을 것을 제안합니다. 대가 알림에는 더 이상의 정보가 나열되어있지 않으므로, 더 자세한 정보가 필요합니다.


Wanna Decryptor 소프트웨어는 분명 보다 유익한 정보원입니다. 피해자께서는 dropbox에서 파일을 다운로드한 후 실행되는 창에서 암호 해독기가 작동하지 않는다는 것을 알게 됩니다. 파일 복원 도구를 실행하자마자 타이머가 시작됩니다. 그리고 특정 시간이 지나면, 암호 해독 요금이 증가합니다. 사용자께서는 “비트코인 소개”, “비트코인 구입 방법”, “연락처” 같은 다른 섹션을 선택하실 수도 있습니다. 연락처는 아마도 WannaCryptor 바이러스의 저작자에게 접촉할 수 있는 일종의 주소를 제공할 것입니다.


또한, 이 소프트웨어는 요구하는 비트코인을 수신하기 위해 이용되는 비트코인 지갑을 보유합니다. 피해자가 지불하는 경우, 지불 금액이 목적지에 잘 도착했는지를 결정하는 “지불 확인”을 클릭해야 합니다. 그러나, 해커가 거래를 제대로 끝낼 것인지는 확신할 수 없습니다. 암호 해독기의 기능은 랜섬웨어가 손상 시킨 데이터를 모두 복구하는데 충분하지 않을 수도 있습니다. 이러한 이유로, 300 달러 이상의 금액을 그냥 날리게 되실 것입니다. 암호화 된 데이터에 추가 될 확장 프로그램에 대한 보고는 없습니다.

데이터 복구 지원: WannaCryptor 랜섬웨어 에디션

WannaCryptor 바이러스 저작자가 설계한 암호 해독 도구에 대해 비용을 지불하지 않으시는 것이 좋습니다. 심지어 도구가 작동하지 않을 수도 있고 귀하께서 지불하신다고해도 그 사실은 변하지 않을 것입니다. 또한, 해커는 일반적으로 자신의 활동을 진짜로 유지하는데 거의 관심이 없습니다. 이러한 이유로, 그들은 피해자가 아닌 돈만 신경쓰는 경향이 있습니다. 귀하께서 WannaCryptor 랜섬웨어의 피해자이시라면, 많은 양의 파일을 실행하실 수 없으실 것입니다. 그러나, 패닉 상태에 빠지지 마시고 무료 데이터 복구를 시도해보시기 바랍니다. 다음 섹션을 읽어보시고 셰도우 볼륨 복사본 및 범용 파일 복구 도구에 익숙해지셔야 합니다. 그러나, 긴장하실 필요는 없습니다. 귀하의 소중한 데이터는 백업 저장소에 채워집니다. 그 다음, WannaCryptor 바이러스를 제거하고 나머지 파일의 암호 해독으로 이동하시기 바랍니다.


WanaDecrypt0r virus

WannaCryptor 랜섬웨어가 장치에 침입하는 방법

가장 인기있는 랜섬웨어 배포 전략 두 가지는 악성 이메일과 익스플로잇 키트를 통한 전송입니다. 귀하의 이메일 받은 편지함은 랜섬웨어 제작자의 목표가 될 수 있으며 그들은 귀하의 계정으로 악성 이메일을 전송합니다. 일회성 거래에 대해 알려주거나 큰 상금을 청구하라고 장려하는 이상한 이메일을 발견하게 될 가능성이 큽니다. 그러나, 그러한 이메일에 포함 된 링크를 따르지 마시기 바랍니다. 그 외에도, 다양한 첨부 파일이 무해한 파일로 첨부 될 수 있습니다. 그러나 현실적으로는 랜섬웨어의 페이로드를 숨기고 있을 것입니다.

피해자께서는 매우 조심스럽게 랜섬웨어를 다루셔야 합니다. 수동으로 이 감염을 제거하는 것은 가능하나, 시간이 꽤 오래 걸릴 수 있습니다. Reimage, Spyhunter 또는 Malwarebytes 같은 안티–멀웨어 도구는 사용자께 문제에 대한 보다 빠른 해결책을 제공할 것입니다. 물론, 파일 복구 절차는 지원하지 않으나 WannaCryptor 바이러스의 모든 흔적을 제거해주므로 더 이상 흔적이 존재하지 않을 것입니다.

2017 년 3 월 15 일의 업데이트. 산불처럼 퍼진 WannaCry에 대한 뉴스를 이미 접하셨을 것입니다. 전 세계의 사용자가 감염되어 자연스럽게 전 세계 미디어의 많은 주목을 받았습니다. 심지어 대기업들조차도 이 예상치 못한 엄청난 랜섬웨어 돌출에 연루되었습니다. WannaCry는 매우 짧은 기간 안에 수많은 Windows 운영 체제 컴퓨터를 감염시켰습니다. 감사하게도, 이 감염이 더 크게 확산되는 것을 막을 수 있었지만, 사용자와 보안 연구원은 사람들이 주의를 기울여야 한다고 권고하고 있습니다. 또한, WannaCry의 여러 복사본이 오늘 발견되었으며, 일부는 아직 개발 중에 있습니다. 자신을 안전하게 하는 가장 좋은 방법은 Microsoft에서 게시한 중요 업데이트를 활용하는 것입니다. 또한 디지털 데이터를 백업 저장소에 저장하시는 것이 좋습니다.


제어판을 사용하여 WannaCryptor 랜섬웨어 바이러스 삭제하는 방법

 
 
참고: Reimage 체험판은 WANNACRYPTOR 랜섬웨어와 같은 패러사이트를 감지하고 그 제거를 무료로 지원합니다.감지된 파일, 프로세스 및 레지스트리 항목을 직접 제거하시거나 유료 버전을 구입하시기 바랍니다.  당사는 이러한 프로그램 일부와 제휴 관계에 있을 수 있습니다. 전체 정보는 공시를 참조하시기 바랍니다.

시스템 복원을 이용한 WannaCryptor 랜섬웨어 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● WANNACRYPTOR 랜섬웨어 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. WannaCrypt virus 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 WanaCrypt0r 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 WannaCry virus 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 WannaCry ransomware는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.
 

WannaCryptor 랜섬웨어 스크린 샷

 
     
 
 
5월 22, 2017 06:07, 7월 25, 2017 00:06
 
   
 

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.