체크멀(CheckMAL) 보안 업체에서 제공하는 AppCheck 랜섬웨어 백신이 랜섬웨어(Ransomware) 감염 시 다양하게 생성될 수 있는 랜섬웨어 결제 안내 파일을 일괄 삭제해 주는 기능이 추가되었습니다.

랜섬웨어 결제 안내 파일은 파일 암호화 후 특정 URL 주소로 접속을 유도하여 정해진 시간 안에 금전을 요구하는 협박 메시지를 의미하며, 아래와 같은 다양한 파일명으로 수천개 이상의 파일을 각 폴더에 생성할 수 있습니다.


# DECRYPT MY FILES #.html

_HELP_instructions.bmp

_HELP_instructions.txt

HOW_DECRYPT.txt

# DECRYPT MY FILES #.txt

_HELP_instructions.txt

+REcovER+uvfmu+.html

DECRYPT_INSTRUCTION.html

 # DECRYPT MY FILES #.vbs

HELP_RESTORE_FILES.bmp

+REcovER+uvfmu+.png

DECRYPT_INSTRUCTION.txt

-HELP-file.txt

HELP_RESTORE_FILES.html

+REcovER+uvfmu+.txt

DECRYPT_INSTRUCTION.url

+recover+file.txt

HELP_RESTORE_FILES.txt

RECOVERY_FILES.txt

RECOVERrgdtd.html

RECOVERrgdtd.png

RECOVERrgdtd.txt

YOUR_FILES.html

YOUR_FILES.url


기본적으로 AppCheck 랜섬웨어 백신은 파일 암호화 과정에서 "랜섬웨어 행위 탐지"를 통해 차단 및 일부 랜섬웨어 결제 안내 파일을 제거해주지만 변종에 따라서는 깨끗하게 삭제하지는 않을 수 있었습니다.


이런 랜섬웨어 결제 안내 파일을 빠르고 간편하게 삭제할 수 있는 기능을 AppCheck 랜섬웨어 백신의 "시스템 검사" 기능을 통해 제공하기 시작하였습니다.

랜섬웨어에 감염된 환경에서 시스템 검사를 진행하면 모든 드라이브에 대하여 검사를 진행하여 랜섬웨어 결제 안내 파일 및 악성 파일이 발견될 경우 위험 표시로 전환됩니다.

시스템 검사가 완료된 후 위험 표시를 클릭하면 시스템 검사 결과에 세부적인 진단 결과를 확인할 수 있습니다.

"전체 치료하기" 버튼을 클릭하시면 위협 요소에 추가된 항목이 검역소(C:\ProgramData\CheckMAL\AppCheck\Quarantine)에 백업되는 방식으로 제거됩니다.

실제 TeslaCrypt 랜섬웨어(Ransomware) 감염 후 AppCheck 랜섬웨어 백신을 설치하여 결제 안내 파일을 제거하는 영상을 통해 확인해 보시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..