1편 -
http://todayhumor.com/?computer_313122
이번글은 '컴잘못' 분들이 1편의 내용이 부족한 경우 필요한 글 입니다.
우선 목차부터 가겠습니다.
◈ 1편 A/S
◈ 추가 설명
1. 들어가기 전에...
1) Windows XP를 사용하고 있어요!
2) IE를 쓸 수 밖에 없어요!
2. 안티 랜섬웨어
1) 하우리 바이로봇 안티-랜섬웨어
2) 안랩 안티-랜섬웨어
3. MBR 방어
1) 하우리 바이로봇 MBR 프로텍터
2) 엔프로텍트 MBR 가드
4. 정리
시작합니다.
===
◈ 1편 A/S
1편이 친절하게 쓴 것도 아닌데도 밤낮이바뀌어서잠좀자고오니 베오베까지 갔네요 -0-)
어쨌든 베오베까지 갔으니 시작 전에 제가 '아는 선'에서 질문에 답변해보겠습니다.
질문 1. 이상한 사이트를 피하면 랜섬웨어에 당하지 않나요?
-> 아니오.
클리앙과 뽐뿌 사태 보시면 아시겠지만, 큰 규모의 사이트라도 예외는 없습니다.
질문 2. 동영상 파일은 걸리지 않나 보네요
-> 아니오.
현재까지 알려진 감염되는 파일 확장자 중, 동영상 또는 이미지 파일 확장자들도 포함되어 있습니다.
특히, 동영상 파일이나 일러스트레이터, 사진 RAW 파일 같은
용량 큰 미디어 파일들은 암호화 과정에서 추가 손상이 되어버려 복구률이 낮습니다.
질문 3. 그라토, 타 백신, MSE(Windows Defender) 등을 쓰는데 말이죠
-> 이 글은 컴잘못 용 (...)
그라토와 Adblock 등은 광고를 막는 방법이지, 랜섬웨어를 아예 완전히 막는 방법은 아닙니다.
MSE는 많이 나아졌다고 해도 최소한의 방어 일 뿐입니다. 최근의 바이러스들은 MSE를 기본적으로 뚫기 위해 노오력합니다.
다른 백신을 쓰신다면 그 백신을 믿으세요. 그러나, MSE를 쓰신다면 다른 백신을 한번 찾아보시는 것을 권해드립니다.
질문 4. 크롬, 파이어폭스만 쓰면 되나요? + IE만 피하면 되나요? + 광고들만 막으면 되나요?
-> 랜섬웨어 유입 통로 중 몇 군데를 막는 방법들입니다만,
어떤 방법을 쓰던 랜선을 뽑지 않는 이상 완전한 방어는 불가능 합니다.
질문 5. 처음 감염된 PC에서만 조심하면 되지 않나요?
-> 이건 추가적으로 설명 드리겠습니다.
이 정도면 질문 사항들에 답변은 되겠네요.
기타 추가적인 설명들은 밑에서 설명드리겠습니다.
===
◈ 추가 설명
질문들 중에 2가지만 추가적으로 설명 드려야 겠네요.
타 백신(+ 보조백신) 사용에 대한 내용과 랜섬웨어 유입통로에 대해서입니다.
1) 타 백신 쓰신다면 그걸 믿으세요. 저는 영업 사원이 아닙니다(...)
적어도 사용하는 백신들은 '기본'은 하는 백신일겁니다. 중요한건 설정입니다.
추가 설정도 안하고 기본적인 상태로 사용한다는건 풀옵션 차량 사서는 깡통(?)에도 있는 옵션들만 쓰는 행동이죠.
보조 백신을 쓰는 이유는 백신들이 취약한 부분을 막는다고 보시면 됩니다.
랜섬웨어는 일단 걸리기 시작하면 '끝장'입니다. 최대한 예방하는게 원칙이죠.
물론, 백신들도 취약한 부분을 보완하고 있습니다만
그 전에 백신이 방어하지 못하는 공간을 보조 백신이 추가적으로 방어한다고 생각하시면 되겠습니다.
2) 유입통로가 '대부분'이 IE + Flash 라는거지, 이 길만 있는 것은 아닙니다.
IE + Flash'를 빼고' 제일 큰 원인을 뽑자면 랜섬웨어 감염 파일을 직접 받으셔서 실행하는 것입니다 (...)
메일 첨부파일 실행으로 인한 감염도 많아지고 있습니다. (참고 URL / 참고 영상)
다른 경로로도 감염 될 수도 있습니다. 사내 공유망을 통해서죠.
예를 들겠습니다. 인터넷이 접속되어 있는 컴퓨터와, 인터넷 접속이 차단되어 있는 컴퓨터가 있습니다.
이 둘은 서로 내부 네트워크 읽기/쓰기 공유로 묶여 있습니다.
이 상황에서 인터넷에 접속되어 있는 컴퓨터에 랜섬웨어가 걸리면?
네트워크를 타고 인터넷 접속이 차단되어 있는 컴퓨터에도 전염이 됩니다.
감염된 PC에 외장하드나 USB가 연결되어 있으면?
그 곳들도 싸그리 암호화 되어버립니다.
이렇게 되면 아까 질문 중에 "크롬만 쓰면 되느냐?" 라는 말에 답변이 되겠네요.
크롬 사용과 Flash 사용 자제는 예방 차원이고, 백신 사용은 최후의 방어선입니다.
다른 바이러스에 걸렸는데 추가적으로 바이러스에 걸릴 수 있나요? 라고 질문하신 분도 계셨습니다.
네, 랜섬웨어는 같은 동료(?)들도 얄짤 없습니다.
이제서야 정말로 시작할 수 있겠네요 ㅠㅠ
===
이제시작이라니
1. 들어가기 전에...
시작하기 전에, 1편에서 언급하지 않은 방법에 대해 간단설명 드려야 겠네요.
피치못할 사정으로 Windows XP나, IE를 사용하실 경우에 대해서입니다.
쓰고 싶지는 않지만 각자의 상황은 다르니까요!
1) Windows XP를 쓸 수 밖에 없어요!
답이 없죠 (...)
언제든지 랜섬웨어나 기타 등등 악성코드에 감염될 확률이 매우 높습니다...만,
'티끌'만큼의 도움되는 방법을 설명하겠습니다.
가. 인터넷을 차단한다
제일 쉬운 방법입니다 -0-)
나. 백신 + APT 쉴드를 최대한 이용해 본다
현실적인 방법1 입니다.
이미 Windows XP는 보안 지원이 종료된 운영체제 입니다.
운영체제 상에서의 취약점은 더이상 방어가 불가능합니다. 다른 방법으로라도 방어해야죠.
그리고 깜박한게 있었는데, 앱체크는 XP를 지원하지 않더라고요 (...)
APT 쉴드 뿐입니다.
다. IE를 버린다
현실적인 방법2 입니다.
Windows XP에서 쓸 수 있는 마지막 IE는 8 버젼입니다.
역시나, 더이상의 패치는 없는 버전인데다가 8 버전은 갈수록 지원하는 사이트가 줄어들고 있습니다.
그럼 1편에서 말한대로 구글 크롬이나 모질라 파이어폭스를 써야되는데, 1편에서 말한대로
크롬은 2016년부로 더이상 최신 버전의 설치가 불가능합니다. 모질라 파이어폭스를 쓰시기 바랍니다. (참고)
2) IE를 쓸 수 밖에 없어요!
방법이 있습니다만... 옵션 상에 이 항목이 있어야 됩니다.
이 항목을 체크 하신 후 사용하시기 바랍니다.
크롬이나 파이어폭스보단 못해도, 전보다는 안전한(?) 사용이 가능합니다.
아, 단점이 있긴 합니다. 저
옵션을 활성화 시킬 경우 기존에 접속하던 홈페이지에서 오류가 뜰 수 있습니다.
그럴 때는 방법이 없습니다 (...)
그곳만 저 옵션을 해제 시킨 후 IE를 사용하시고 다시 옵션에 체크하는 번거로움 밖에는...
만약 저 옵션이 없다면?
해당 기능을 지원하지 않는 버젼입니다. 이때는 최대한 IE를 버리셔야...
===
2. 안티 랜섬웨어
지금부터 말할 내용들은 1편도 버거우신 분들에게는 추천해드리지 않습니다.
컴퓨터에 살짝 익숙(?)해 지셔야되는 방법들입니다.
그리고 개인적인 예방방법이므로 여러분들이 해당 내용을 적용하기 이전에 직접 판단하셔야 됩니다.
잘못된 내용이 있을 수 있습니다. 올라오는 댓글들을 보면서 판단하세요.
대신에, 지금 글에서는 어느정도 판단하실 수 있게 최대한 간단설명을 하겠습니다.
위에서 설명했듯이 보조 백신을 쓰는 이유는 백신이 놓치는 부분을 보완하기 위해서 입니다.
백신들에도 이미 해당 방어 기능이 존재하거나, 추가 중에 있습니다.
V3 Lite에서 이 옵션(+ 실시간 실행 감지 옵션)은 1편에서 설명드린 APT 쉴드와 비슷한 행동을 합니다.
그러나, 백신은 '
이미 발견된' 것들을 방어합니다.
아직 발견되지 않은 신종들은 여러가지 기술을 이용해서 방어하려 합니다만, 아직까지 서로 공성전(?) 을 벌이고 있죠.
특히 랜섬웨어는 위에서 몇번 강조했듯이 뚫리면 답이 없습니다. 보조 백신이 탄생한 이유죠.
그래서 1편에서도 APT 쉴드와 앱체크를 쓰는데요. 이 둘만 있는 것이 아닙니다.
(
앱체크와 함께 밑에서 소개할 두 프로그램 역시 Windows XP는 지원하지 않습니다)
1) 하우리 바이로봇 안티-랜섬웨어 베타 (다운로드 : http://www.hauri.co.kr/Ransomware/index.html)
앱체크와 유사한 프로그램입니다. 아니, 앱체크와 같은 프로그램이라고 해도 되겠네요.
같은 행동을 하는 프로그램 두 개를 동시에 쓰는 이유는?
앱체크는
"프로그램의 행동이 어느정도 랜섬웨어랑 같다" 라고 판단할 경우 해당 행위를 막습니다.
이후에 자동으로 해당 프로그램의 종료와 함께 변형된 파일들의 원본 파일을 백업을 해주기는 합니다만,
백업되지 못하는 파일 안에 내 소중한 파일이 있을 수 있습니다.
그리고 앱체크 무료버젼은 방어까지만 할 뿐,
치료까지 해주지는 않습니다.
덕분에 계속해서 차단-방어가 반복되기도 합니다.
그래서 앱체크와 함께 2중 방어를 시도하는거죠.
일반적인 백신이었으면 하지 않는 방식이지만 보조 백신이라 써 볼 수 있는 방법입니다.
일단은 아직
베타버젼이지만, 하우리에서
타 백신과 공용해도 된다고 말하고 있으니
테스트겸 사용해 보고 있습니다.
아직까지 앱체크와 하우리 안티-랜섬웨어끼리의 충돌은 확인하지 못했습니다.
충돌이 있을 경우 앱체크와 하우리 중 하나만 선택하시기 바랍니다. 2) 안랩 안티-랜섬웨어
베타 (다운로드 :
http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=120)
하우리에서 선수를 치고나서(...) 안랩에서 후속타자로 나온 랜섬웨어 방어 툴입니다.
앱체크나 하우리와 다른 차이점은
V3와의 사용을 권장합니다.
다른 타사 백신과 같이 사용이 가능하다는 내용이 없습니다.작동 방식도 다릅니다. 앱체크나 하우리가 프로그램의 행위를 지켜보다가 차단하는 방식이라면,
안랩의 방식은 인터넷에서 파일이 다운로드 될 경우, 해당 파일을 안랩으로 해당 파일의 정보를 보냅니다.
이후 안랩에 보고가 안된 파일일 경우 경고를 내보내고, 악성 파일일 경우 차단을 시킵니다.
그리고 해당 파일을 실행할 때도 가상화 상태에서 실행한다고 하는데,
이 프로그램의 단점은
인터넷이 꼭 연결되어 있어야 사용이 가능합니다.
(그리고 하우리의 프로그램보다는 기능이 적습니다. 대신 그 기능들은 8월에 V3 제품에 따로 추가될 예정입니다)
요약 :
안랩 안티-랜섬웨어는 인터넷이 연결된 상황에서
V3와 함께하우리 안티-랜섬웨어는
앱체크와의 호환성이 확인이 되지 않았으나 아직까지는 오류가 발견되지 않았음.
하우리와 안랩의 방식이 다른만큼 하나만 선택하시기 바랍니다.
===
2. MBR 방어
MBR가 뭐냐고 물으시면 검색의 생활화(...)
1줄 요약하면 MBR가 망가지면 Windows 부팅도 안됩니다.
예전부터 MBR을 파괴하는 바이러스가 있어왔었는데, 최근 랜섬웨어에서도 이 MBR를 변조하여
인질 행각을 벌이기 시작했습니다.
물론 위에서 말햇듯이 백신들에도 MBR 방어가 있거나 해당 백신이 설치된 파티션의 방어 옵션은 존재합니다.
V3 Lite에서도 V3가 설치된 파티션을 보호합니다.
그러나, 다른 파티션은 방어를 하지 못하죠.
(이 말은 이미 알려진 바이러스들의 MBR 파괴는 방어가 가능하나 신종 바이러스에 관해서는 방어를 할 수도, 불가능 할 수도 있다는 거죠)
이 밑에 소개될 2개의 프로그램은 2013년에 유행한 악성코드에 대응하기 위해 '
임시'로 나왔던 프로그램들 입니다.
지금은 공식 사이트에서는 다운로드 받을 수가 없는 프로그램들이죠. 이미 V3처럼 백신에 기능이 통합되어 있거든요.
그럼 왜 이 프로그램들을 소개하느냐?
설명하기 전에, 앱체크를 보시죠.
앱체크는 타 백신과 혼용하도록 만들어진 프로그램입니다. 그런데 이 앱체크에서도 MBR 방어 옵션이 있네요? (
유료지만요)
결론 : 유료로 된 옵션을 대체하기 위한 목적입니다.밑에서 소개할 두 프로그램들은 MBR 방어 프로그램과 동시에 약간의
이용 불편을 주는 프로그램입니다.
(두 프로그램 말고도 비슷한 행위를 하는 프로그램이 있습니다만, 그 프로그램은 목적이 애초에 다른 프로그램이므로
링크만 제공하겠습니다)
현재까지 찾아낸 불편사항으로는
가. 공CD 또는 공DVD 류 굽기 불가
나. USB 메모리 또는 SD 카드, 하드디스크 등 포맷 불가
다. CrystalDiskInfo 류의 프로그램에서 외장하드 인식 불가 (HDD S.M.A.R.T 확인 불가)...등이 있습니다. 이 사항들은
MBR 보호 프로그램을 중지/시작 시키는걸로 복구가 됩니다.
<
작업 표시줄에서 하우리 바이로봇 MBR 프로텍터 중지 시키기 >
위의 해당사항들 빼고는 중지 시킬 일은 없습니다.
대신, 이렇게 중지된 경우
다시 시작을 클릭 해줘야되는 귀찮음이 따르는 프로그램들입니다.
(조금 찾아보니 해당 프로그램들을 설치 후 위에 상황에 대해서 이용자들의 항의가 있었는듯 합니다)
이 점 때문에 해당 프로그램들을 제작한 하우리와 엔프로텍트 홈페이지에서는 공식적인 다운로드가 불가능 합니다.
대신에 해당 업체의 백신에 기능이 통합되었지만 위에처럼 보수적인 방어는 하지 못하는 것 같습니다.
제가 이 프로그램들을 언급하는 이유 중 하나입니다. 제일큰건 유료기능대체
(Windows XP에서도 사용이 가능합니다)
해당 내용을 숙지하시고, 대처가 가능하신 분만 사용하시기 바랍니다.
1) 하우리 바이로봇 MBR 프로텍터 (다운로드 : http://windowsforum.kr/data/5471881)
설치후 보호만 되게 해놓으면 딱히 신경 쓸 필요가 없습니다.
다만, MBR의 변조 시도시 차단이 되긴하는데...
아무런 경고가 없는 것 같습니다. (
참고)
2) 엔프로텍트 MBR 가드 (다운로드 : http://windowsforum.kr/data/7628487)
역시 위와 똑같습니다.
위와 다른 점은 MBR 변조 시도시 차단 후 해당 내용을 알려줍니다.
(
바이러스 시즌 2 카페에 이 프로그램의 유지/보수를 맡았던 분이 계시기도 합니다)
요약 :
하우리는
묵묵하게 일만 함
엔프로텍트는
말도 함 ^^;
선택은 하나만 하시면 되겠습니다.
===
4. 정리
이렇게 해서 글은 끝났네요...
1편에서도 말햇듯이 2편은 주관적인 내용이 많이 들어가므로 거르실 부분은 최대한 거르신 후 사용하시기 바랍니다.
이런 내용들을 바탕으로 제가 사용하는 프로그램들입니다.
안랩 V3 Lite + 하우리 바이로봇 안티-랜섬웨어, APT 쉴드, MBR 프로텍터 + 앱체크가 되겠네요.
아직까지 충돌이나 방어 실패하는 경우는 경험하지 못했습니다.
(각종
위험한(??) 사이트들을 돌아다닌 최근 1년 동안'은' 말이죠... +
브라우저에 내장된 사생활 보호모드도 병행합니다)
물론 저만 해당하는 경우일 수도 있으니 판단은 여러분의 몫입니다.을 보시면 아시겠지만, 1편도 2편도 예방법을 쉽게 풀어 쓴 것 뿐입니다.
메일 첨부파일 조심하고, 확인 안된 파일 다운로드 조심하고, 인터넷 조심하고, 업데이트 잘하고 등등... 있지만
안될 때는 뭘 해도 안된다고(...)
이렇게 했는데도 새로 나온 변종 랜섬웨어에 당할 수 있습니다로또사세요(?)
그러므로, 제일 좋은 방법은 정기적인 '백업' 입니다 백업.
유료 클라우드 서비스를 이용하시거나 USB, 외장하드를 사서 백업(USB, 외장하드는
백업 후 반드시 PC와 분리 하셔야 합니다)
하면
아무리 랜섬웨어라도 답이 없습니다. 포맷해버리면 그만이니깐요.이정도면 이 글을 마쳐도(?) 되겠네요. 고생하셨습니다 (...)
추가적인 답변이 필요할만한 사항은 댓글
이나 따로 글을 파서 설명드리겠습니다.
끝!
아 도망가자
