울지않는벌새 : Security, Movie & Society

앱체크(AppCheck) 랜섬웨어 대피소 활용 방법

벌새::Software

50여종 이상의 백신 엔진을 이용하여 악성 파일 실행을 차단할 수 있는 앱체크(AppCheck) 보조 백신에 포함된 "랜섬웨어 대피소"는 랜섬웨어(Ransomware) 악성코드 감염시 파일 암호화 시도시 원본 파일을 실시간 백업해주는 유용한 기능입니다.

이 글에서는 랜섬웨어 대피소 기능을 활용 방법을 숙지하여 사용자가 보호를 원하는 파일이 암호화 등의 손상으로부터 보호하는 방법을 살펴보도록 하겠습니다.

 

1. "랜섬웨어 대피소" 옵션 : 보호할 파일 확장명을 추가하자!

앱체크(AppCheck) 보조 백신은 기본적으로 랜섬웨어 대피소 기능이 활성화된 상태로 설치되며, 압축 파일, 문서, 사진, 음악, 인증서 등의 기본 파일에 대해서는 보호할 파일 확장명으로 추가된 상태입니다.

 

하지만 사용자 PC 환경에 따라서는 사용하는 소프트웨어에 따라 독특한 파일에 대한 보호가 필요할 수 있으므로 보호할 파일 확장명을 추가하는 방법을 살펴보도록 하겠습니다.

Windows 운영 체제의 기본 설정값에서는 "알려진 파일 형식의 파일 확장명 숨기기" 옵션이 체크된 상태이므로 파일명만 확인이 가능하며 확장명을 쉽게 알 수 없으므로 해당 설정값을 해제하시기 바랍니다.

파일 확장명이 표시되도록 변경한 경우 "파일명.확장명" 형태로 표시된 파일 중에서 보호를 원하는 파일의 확장명을 추가하시면 됩니다.(※ 예시 - TIF,TIFF,WMF,PSD 또는 TIF;TIFF;WMF;PSD)

 

단지 주의할 점은 대용량 파일의 보호를 원할 경우에는 하드 디스크 용량이 백업이 가능할 정도로 충분해야 한다는 점을 잊지 마시기 바랍니다.

 

2. 랜섬웨어(Ransomware) 감염과 대처 방법

테스트에서 활용할 랜섬웨어(Ransomware) 악성코드는 최근 랜섬웨어 방어 기능을 우회할 목적으로 기존과 다른 형태로 파일을 조작하는 CryptoWall 3.0 버전으로 진행하였습니다.

CryptoWall 3.0 랜섬웨어(Ransomware) 악성코드에 감염되어 정상적인 파일들이 암호화된 경우 해당 파일을 열어보면 깨진 형태로 출력되어 파일이 손상되어 있음을 알 수 있습니다.

이 과정에서 앱체크(AppCheck) 랜섬웨어 대피소 백업 폴더<C:\Backup(AppCheck)>에는 자동으로 원본 파일을 백업하여 안전하게 저장되는 모습을 확인할 수 있습니다.

 

참고로 랜섬웨어 대피소 백업 폴더는 각 드라이브별로 Backup(AppCheck) 폴더를 생성하며, 내부 폴더는 원본 파일 위치와 동일하게 위치합니다.

 

이렇게 랜섬웨어(Ransomware) 악성코드에 감염된 상황에서 사용자가 수행할 단계별 대처법은 다음과 같습니다.

 

(a) 일반적으로 정상적인 파일을 암호화하는 랜섬웨어(Ransomware) 악성코드는 1개의 EXE 파일로 다양한 위치와 이름으로 생성되어 암호화를 진행하며, 작업이 완료 후에는 자기 자신을 삭제하여 흔적을 남기지 않는 경우도 존재합니다.

거의 모든 랜섬웨어(Ransomware) 악성 파일은 Sysinternals Autoruns 도구를 이용한 VirusTotal 검사를 통해 매우 쉽게 위치를 확인할 수 있으므로 파일을 찾지 못하거나 제거 여부를 확인하는데 추천해 드립니다.(※ 파일을 찾을 수 없다면 암호화 후 자동 삭제 처리된 경우입니다.)

 

만약 기본값에서 확인되지 않을 경우에는 "Options → Hide Windows Entries" 체크를 해제하시고 찾으시기 바랍니다.

(b) 랜섬웨어(Ransomware) 악성코드에 감염되어 파일 암호화가 완료된 후에는 금전 결제와 관련된 메시지 창을 자동으로 생성되며, 사용자가 메시지를 생성하는 파일을 찾아 직접 삭제할 경우 매우 시간이 소요되므로 다음과 같이 삭제하시기 바랍니다.

일반적으로 해당 메시지는 바탕 화면에 종류별로 파일을 생성하며, 변종에 따라 다양한 파일명으로 1~4종의 메시지가 존재할 수 있습니다.

 

일괄 삭제를 위해서는 "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 ① 루트(Root) 폴더로 위치 이동 ② 파일 삭제 명령어를 입력 및 실행하시기 바랍니다.

 

명령어에 들어갈 파일명은 바탕 화면에 생성된 파일명을 확인하여 다음과 같이 일괄 지정하시면 됩니다.

  • CD C:\ <C 드라이브 기준> 또는 CD D:\ <D 드라이브 기준>
  • del /s HELP_DECRYPT.HTML HELP_DECRYPT.PNG HELP_DECRYPT.TXT HELP_DECRYPT.URL

위와 같은 조치가 완료된 후에는 메모리에 남아있는 악성코드가 존재할 수 있으므로 Windows 재부팅을 반드시 하시길 권장합니다.

 

3. 랜섬웨어 대피소 백업 폴더<Backup(AppCheck)>에 보관된 파일 복구 방법

 

2번 항목을 통해 랜섬웨어(Ransomware) 악성코드를 완전히 제거한 후에는 "랜섬웨어 대피소"에 안전하게 백업된 원본 파일을 사용자가 원하는 폴더 위치로 복구하시면 됩니다.

랜섬웨어 대피소 백업 폴더<Backup(AppCheck)>에 저장된 폴더 및 파일은 이름 변경, 이동, 삭제를 할 수 없도록 보호되어 있습니다.

그러므로 랜섬웨어 대피소 백업 폴더에 저장된 원본 파일을 선택하여 복사하기(Ctrl+C)를 통해 원하는 폴더로 붙여넣기(Ctrl+V)를 하시기 바랍니다.

 

또한 랜섬웨어 대피소 백업 폴더<Backup(AppCheck)>에 저장된 폴더 및 파일의 삭제를 원할 경우에는 앱체크(AppCheck) 보조 백신 옵션의 "랜섬웨어 대피소 사용" 체크 박스를 임시 해제한 후 삭제를 진행하시면 됩니다.

 

중요한 점은 랜섬웨어(Ransomware) 악성코드에 감염되지 않는 것이 가장 중요하며, 만약의 사태를 위해서는 PC와 연결되지 않은 외부 저장 매체에 중요 파일을 주기적으로 백업하시는 것이 안전합니다.

취약점(Exploit)을 이용한 악성코드 자동 감염이 이루어지지 않도록 보안 업데이트에 신경쓰시기 바라며, 스팸 메일에 첨부된 파일을 함부로 실행하지 않도록 주의하시기 바랍니다.

마지막으로 앱체크(AppCheck) 보조 백신은 랜섬웨어 대피소 기능을 이용한 파일 보호 기능 외에도 다중 백신 엔진을 통한 악성 파일을 차단할 수 있으므로 백신 프로그램과 함께 사용하시면 많은 도움을 받으실 수 있으므로 잘 활용하시기 바랍니다.