옆 사이트에서 바이러스 피해자가 빠르게 늘고있어서 퍼왔습니다. 원 출처는<br><a target="_blank" href="http://m.clien.net/cs3/board?bo_style=view&bo_table=park&page=1&wr_id=37307136" target="_blank">http://m.clien.net/cs3/board?bo_style=view&bo_table=park&page=1&wr_id=37307136</a>입니다. <div><br></div> <div>cryptolocker 바이러스는 사용자가 하드에 저장한 대부분의 파일들을(이미지, 워드, 엑셀, 동영상, 압축파일, psd같은 업무파일 등) 암호화시켜놓고 쓰지 못하도록 막아놓은 뒤 창을 띄워 비트코인 등으로 입금을 해야만 암호화된 해당 파일을 다시 쓸 수 있도록 키를 제공한다며 협박을 한다고 합니다. <span style="font-size:9pt;line-height:1.5;">변종이 많아 유명 백신에서도 감지하지 못하는 경우가 많고 한 번 암호화된 파일은 답이 없다네요. </span><span style="font-size:9pt;line-height:1.5;">심지어 적힌 곳으로 울며 겨자먹기로 돈을 보냈는데 먹튀한 사례도 있다고...</span></div> <div><span style="font-size:9pt;line-height:1.5;">게다가 현재 국내에서 어떤 방식으로 퍼지는지 제대로 알려지지 않은채 피해자들이 계속 늘어나고 있어서 더 위험합니다. 컴퓨터 좀 다룬다는 분들이나 서버 관리자같은 분들도 걸리고 있어서 단순히 불법 다운로드나 위험한 사이트 접속만 피한다고 되는 일은 아닌 것 같아요. 아래는 출처 글에 적힌 임시 대응 방법입니다.</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">-----------------------</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">일단 당황하지 마시고 컴퓨터 끄세요. </span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">1.재부팅 후 f8 눌러서 윈도 부팅 옵션을 고름 </span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">2.안전모드 with 네트워크로 부팅</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">3.구글로 trendmicro cryptolocker removal tool 검색하거나 다음 링크에서 제거 툴 다운로드</span></div> <div><a target="_blank" href="http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3136/goz-and-cryptolocker-malware-affecting-users-globally" style="font-size:9pt;line-height:1.5;" target="_blank">http://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3136/goz-and-cryptolocker-malware-affecting-users-globally</a></div> <div><span style="font-size:9pt;line-height:1.5;">자신의 os버전에 맞는 버전으로 다운로드(32bit, 64bit)</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">4. 다운로드 완료후 파일 실행. 저는 한 20분 걸렸습니다. 랜섬웨어 제거완료.</span></div> <div><br></div> <div><span style="font-size:9pt;line-height:1.5;">5. 일반 모드로 재부팅. </span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">6. cryptolocker는 제거되었을 것입니다. 파일 백업 하세요. encrypted도 일반 백업. </span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">* 임시 확인 사항 </span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">(1) xls, ppt, doc, pdf는 암호화 됨. hwp파일의 경우 저 파일과 같은 폴더의 경우 암호화. 별도 폴더의 경우 비암호화(살아있음) </span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">(2) png파일은 안걸림. 급한 이미지 파일의 경우 jpg는 png로 확장자 바꿔놓으세요^_^; </span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">(3) decrypolocker.com에서 파일을 업로드 하면 '알려진 키'의 경우 복구 툴을 보내줍니다. 현재 진행중인데 아직 안 왔네요. </span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">* 추가</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">(1) </span><a target="_blank" href="https://decryptcryptolocker.com/" style="font-size:9pt;line-height:1.5;" target="_blank">https://decryptcryptolocker.com/</a><span style="font-size:9pt;line-height:1.5;"> 여기에 이메일과 감염된 파일 샘플을 보내면 해당 메일로 RSA_2048키가 옴. 해당 키가 수사 및 연구중. 지금 건 안되도 기다리면 키가 계속 추가됨. 그러므로 나중에라도 살릴수 있음. </span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">(2) 위에 trendmicro attk로 검색이 가능합니다. 리무벌만 하는게 아니므로 검색에도 이용하세요.</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div>-----------------------</div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">* 아래 내용 덧붙였습니다 *</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">- usb나 외장 하드 등 연결된 모든 하드가 감염된다고 합니다. 꼭 필요한 상황이 아니라면 빼놓으시고, </span></div> <div><span style="font-size:9pt;line-height:1.5;">파일을 읽기 전용으로 해두면 암호화되지 않는다고 합니다. 중요한 파일은 읽기 전용으로 설정해두세요.</span></div> <div><br>- 현재 익스플로러+플래시 구버젼인 경우만 바이러스 감염이 나오고 있네요. <span style="font-size:9pt;line-height:1.5;">가급적 익스플로러가 아닌 다른 브라우저를 사용하시고(바이러스 사이트에서 익스플로러가 아닌 다른 브라우저는 그냥 리다이렉트만 시킨다고 합니다) 플래시 플레이어 플러그인의 업데이트는 필수로 꼭 진행하세요! 아니면 아예 플래시 플러그인 자체를 막아두셔도 괜찮을 것 같습니다.</span></div> <div><span style="font-size:9pt;line-height:1.5;"><br></span></div> <div><span style="font-size:9pt;line-height:1.5;">- 위에 나온 사이트 외 국내 랜섬웨어침해대응센터 주소도 알려드립니다. </span><a target="_blank" href="https://www.rancert.com">https://www.rancert.com</a></div>