체크멀(CheckMAL) 보안 업체에서 제공하는 AppCheck 랜섬웨어 백신이 랜섬웨어(Ransomware) 감염 시 다양하게 생성될 수 있는 랜섬웨어 결제 안내 파일을 일괄 삭제해 주는 기능이 추가되었습니다.
랜섬웨어 결제 안내 파일은 파일 암호화 후 특정 URL 주소로 접속을 유도하여 정해진 시간 안에 금전을 요구하는 협박 메시지를 의미하며, 아래와 같은 다양한 파일명으로 수천개 이상의 파일을 각 폴더에 생성할 수 있습니다.
# DECRYPT MY FILES #.html |
_HELP_instructions.bmp |
_HELP_instructions.txt |
HOW_DECRYPT.txt |
# DECRYPT MY FILES #.txt |
_HELP_instructions.txt |
+REcovER+uvfmu+.html |
DECRYPT_INSTRUCTION.html |
# DECRYPT MY FILES #.vbs |
HELP_RESTORE_FILES.bmp |
+REcovER+uvfmu+.png |
DECRYPT_INSTRUCTION.txt |
-HELP-file.txt |
HELP_RESTORE_FILES.html |
+REcovER+uvfmu+.txt |
DECRYPT_INSTRUCTION.url |
+recover+file.txt |
HELP_RESTORE_FILES.txt |
RECOVERY_FILES.txt |
RECOVERrgdtd.html |
RECOVERrgdtd.png |
RECOVERrgdtd.txt |
YOUR_FILES.html |
YOUR_FILES.url |
기본적으로 AppCheck 랜섬웨어 백신은 파일 암호화 과정에서 "랜섬웨어 행위 탐지"를 통해 차단 및 일부 랜섬웨어 결제 안내 파일을 제거해주지만 변종에 따라서는 깨끗하게 삭제하지는 않을 수 있었습니다.
이런 랜섬웨어 결제 안내 파일을 빠르고 간편하게 삭제할 수 있는 기능을 AppCheck 랜섬웨어 백신의 "시스템 검사" 기능을 통해 제공하기 시작하였습니다.
랜섬웨어에 감염된 환경에서 시스템 검사를 진행하면 모든 드라이브에 대하여 검사를 진행하여 랜섬웨어 결제 안내 파일 및 악성 파일이 발견될 경우 위험 표시로 전환됩니다.
시스템 검사가 완료된 후 위험 표시를 클릭하면 시스템 검사 결과에 세부적인 진단 결과를 확인할 수 있습니다.
"전체 치료하기" 버튼을 클릭하시면 위협 요소에 추가된 항목이 검역소(C:\ProgramData\CheckMAL\AppCheck\Quarantine)에 백업되는 방식으로 제거됩니다.