본문 바로가기

벌새::Software

앱체크(AppCheck) 랜섬웨어 대피소 활용 방법

50여종 이상의 백신 엔진을 이용하여 악성 파일 실행을 차단할 수 있는 앱체크(AppCheck) 보조 백신에 포함된 "랜섬웨어 대피소"는 랜섬웨어(Ransomware) 악성코드 감염시 파일 암호화 시도시 원본 파일을 실시간 백업해주는 유용한 기능입니다.

 

이 글에서는 랜섬웨어 대피소 기능을 활용 방법을 숙지하여 사용자가 보호를 원하는 파일이 암호화 등의 손상으로부터 보호하는 방법을 살펴보도록 하겠습니다.

 

1. "랜섬웨어 대피소" 옵션 : 보호할 파일 확장명을 추가하자!

앱체크(AppCheck) 보조 백신은 기본적으로 랜섬웨어 대피소 기능이 활성화된 상태로 설치되며, 압축 파일, 문서, 사진, 음악, 인증서 등의 기본 파일에 대해서는 보호할 파일 확장명으로 추가된 상태입니다.

 

하지만 사용자 PC 환경에 따라서는 사용하는 소프트웨어에 따라 독특한 파일에 대한 보호가 필요할 수 있으므로 보호할 파일 확장명을 추가하는 방법을 살펴보도록 하겠습니다.

Windows 운영 체제의 기본 설정값에서는 "알려진 파일 형식의 파일 확장명 숨기기" 옵션이 체크된 상태이므로 파일명만 확인이 가능하며 확장명을 쉽게 알 수 없으므로 해당 설정값을 해제하시기 바랍니다.

파일 확장명이 표시되도록 변경한 경우 "파일명.확장명" 형태로 표시된 파일 중에서 보호를 원하는 파일의 확장명을 추가하시면 됩니다.(※ 예시 - TIF,TIFF,WMF,PSD 또는 TIF;TIFF;WMF;PSD)

 

단지 주의할 점은 대용량 파일의 보호를 원할 경우에는 하드 디스크 용량이 백업이 가능할 정도로 충분해야 한다는 점을 잊지 마시기 바랍니다.

 

2. 랜섬웨어(Ransomware) 감염과 대처 방법

테스트에서 활용할 랜섬웨어(Ransomware) 악성코드는 최근 랜섬웨어 방어 기능을 우회할 목적으로 기존과 다른 형태로 파일을 조작하는 CryptoWall 3.0 버전으로 진행하였습니다.

CryptoWall 3.0 랜섬웨어(Ransomware) 악성코드에 감염되어 정상적인 파일들이 암호화된 경우 해당 파일을 열어보면 깨진 형태로 출력되어 파일이 손상되어 있음을 알 수 있습니다.

이 과정에서 앱체크(AppCheck) 랜섬웨어 대피소 백업 폴더<C:\Backup(AppCheck)>에는 자동으로 원본 파일을 백업하여 안전하게 저장되는 모습을 확인할 수 있습니다.

 

참고로 랜섬웨어 대피소 백업 폴더는 각 드라이브별로 Backup(AppCheck) 폴더를 생성하며, 내부 폴더는 원본 파일 위치와 동일하게 위치합니다.

 

이렇게 랜섬웨어(Ransomware) 악성코드에 감염된 상황에서 사용자가 수행할 단계별 대처법은 다음과 같습니다.

 

(a) 일반적으로 정상적인 파일을 암호화하는 랜섬웨어(Ransomware) 악성코드는 1개의 EXE 파일로 다양한 위치와 이름으로 생성되어 암호화를 진행하며, 작업이 완료 후에는 자기 자신을 삭제하여 흔적을 남기지 않는 경우도 존재합니다.

 

거의 모든 랜섬웨어(Ransomware) 악성 파일은 Sysinternals Autoruns 도구를 이용한 VirusTotal 검사를 통해 매우 쉽게 위치를 확인할 수 있으므로 파일을 찾지 못하거나 제거 여부를 확인하는데 추천해 드립니다.(※ 파일을 찾을 수 없다면 암호화 후 자동 삭제 처리된 경우입니다.)

 

만약 기본값에서 확인되지 않을 경우에는 "Options → Hide Windows Entries" 체크를 해제하시고 찾으시기 바랍니다.

(b) 랜섬웨어(Ransomware) 악성코드에 감염되어 파일 암호화가 완료된 후에는 금전 결제와 관련된 메시지 창을 자동으로 생성되며, 사용자가 메시지를 생성하는 파일을 찾아 직접 삭제할 경우 매우 시간이 소요되므로 다음과 같이 삭제하시기 바랍니다.

일반적으로 해당 메시지는 바탕 화면에 종류별로 파일을 생성하며, 변종에 따라 다양한 파일명으로 1~4종의 메시지가 존재할 수 있습니다.

 

일괄 삭제를 위해서는 "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 ① 루트(Root) 폴더로 위치 이동 ② 파일 삭제 명령어를 입력 및 실행하시기 바랍니다.

 

명령어에 들어갈 파일명은 바탕 화면에 생성된 파일명을 확인하여 다음과 같이 일괄 지정하시면 됩니다.

 

  • CD C:\ <C 드라이브 기준> 또는 CD D:\ <D 드라이브 기준>
  • del /s HELP_DECRYPT.HTML HELP_DECRYPT.PNG HELP_DECRYPT.TXT HELP_DECRYPT.URL

위와 같은 조치가 완료된 후에는 메모리에 남아있는 악성코드가 존재할 수 있으므로 Windows 재부팅을 반드시 하시길 권장합니다.

 

3. 랜섬웨어 대피소 백업 폴더<Backup(AppCheck)>에 보관된 파일 복구 방법

 

2번 항목을 통해 랜섬웨어(Ransomware) 악성코드를 완전히 제거한 후에는 "랜섬웨어 대피소"에 안전하게 백업된 원본 파일을 사용자가 원하는 폴더 위치로 복구하시면 됩니다.

랜섬웨어 대피소 백업 폴더<Backup(AppCheck)>에 저장된 폴더 및 파일은 이름 변경, 이동, 삭제를 할 수 없도록 보호되어 있습니다.

그러므로 랜섬웨어 대피소 백업 폴더에 저장된 원본 파일을 선택하여 복사하기(Ctrl+C)를 통해 원하는 폴더로 붙여넣기(Ctrl+V)를 하시기 바랍니다.

 

또한 랜섬웨어 대피소 백업 폴더<Backup(AppCheck)>에 저장된 폴더 및 파일의 삭제를 원할 경우에는 앱체크(AppCheck) 보조 백신 옵션의 "랜섬웨어 대피소 사용" 체크 박스를 임시 해제한 후 삭제를 진행하시면 됩니다.

 

중요한 점은 랜섬웨어(Ransomware) 악성코드에 감염되지 않는 것이 가장 중요하며, 만약의 사태를 위해서는 PC와 연결되지 않은 외부 저장 매체에 중요 파일을 주기적으로 백업하시는 것이 안전합니다.

 

취약점(Exploit)을 이용한 악성코드 자동 감염이 이루어지지 않도록 보안 업데이트에 신경쓰시기 바라며, 스팸 메일에 첨부된 파일을 함부로 실행하지 않도록 주의하시기 바랍니다.

마지막으로 앱체크(AppCheck) 보조 백신은 랜섬웨어 대피소 기능을 이용한 파일 보호 기능 외에도 다중 백신 엔진을 통한 악성 파일을 차단할 수 있으므로 백신 프로그램과 함께 사용하시면 많은 도움을 받으실 수 있으므로 잘 활용하시기 바랍니다.

 

 
  • 어머, 방어되네?
    https://youtu.be/SAmGXxw8pmQ

  • 문의드려요 2015.11.28 19:58 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.

    앱체크가 백신같이 탐지기능을 계속 진행하는것으로 알고있는데, 백신과 함께쓰면 좀 컴퓨터가 느려지지않을까요?

    • 현재 다양한 백신 프로그램과 함께 테스트를 한 상태에서는 충돌 등의 문제는 보고되지 않았으며, 혹시 있을지도 모를 오류 등의 문제가 발생하신다면 제작사에 문의하시면 개선해 드릴 것입니다.

      그리고 DB 업데이트를 통한 파일 검사가 아닌 파일 해시값을 이용한 온라인 조회 방식이므로 걱정하는 부분은 거의 없을 것으로 생각됩니다.

      마지막으로 프로그램 이름도 분명하게 언급하였지만 보조 백신으로 다른 백신과 함께 사용할 수 있도록 개발되었습니다.

  • 조군 2015.11.28 20:42 댓글주소 수정/삭제 댓글쓰기

    안녕하세요?
    알려주신 앱체크를 다운받아 실행하였는데 C드라이브만 백업폴더가 생성되고 D드라이브는 생성되지 않았습니다. 따로 설정하는 것이 있는지요?

    • 기본적으로 최초 설치 후 백업 폴더는 자동 생성되지 않으며 조건이 맞을 경우 백업 폴더가 자동 추가되어 D 드라이브에도 생성됩니다.

      아마 특별히 백업할 부분이 없기에 D 드라이브에는 폴더가 생성되지 않은 것 같습니다.

  • 조군 2015.11.28 21:08 댓글주소 수정/삭제 댓글쓰기

    친절하신 설명 감사드립니다~^^

  • 오리 2015.12.03 23:23 댓글주소 수정/삭제 댓글쓰기

    C뿐만이 아닌 다른 파티션에서도 백업이 되나요?

  • 오리 2015.12.03 23:41 댓글주소 수정/삭제 댓글쓰기

    답변감사드립니다

  • ㅇ_ㅇ 2015.12.08 16:40 댓글주소 수정/삭제 댓글쓰기

    벌새님 추천이라서 써봤는데 이 프로그램 너무 이상하던데요. 설치 이틀 만에 삭제했습니다. 윈도우7에서 어베스트 프리버전과 함께 쓰고 있었는데 설치 이후부터 인터넷 창이 열리는 속도가 느려지는 것은 물론이고 툭하면 응용프로그램 응답없음 현상이 일어나면서 윈도우 시스템 종료조차 안되서 본체 전원 버튼을 눌러서 강제종료를 해야했습니다. 희뿌연 응답없음 화면으로 뒤덮이고 마우스 커서만 움직여지는 심각한 프리징은 이 프로그램 쓰면서 처음 봤네요. 국산 프로그램 같은데 이거 공신력 있는 검증은 된 프로그램인가요.

    • avast! 제품 사용 중에 문제가 발생하는 부분은 확인하여 수정해야 할 것 같습니다. 아직 출시한지 1개월째라서 안정화가 필요한 부분이 있는 것으로 보입니다.

      관련된 증상과 관련하여 제작사에 문의를 하시면 제품 수정에 도움이 될꺼라 보여집니다.ㅠㅠ

      차후에 제품이 좀 더 개선되면 사용해 보세요. 죄송합니다.

    • ㅇ_ㅇ 2015.12.08 20:16 댓글주소 수정/삭제

      엥...벌새님이 사과하실 일은 아닌데요....

  • 사슴곰 2016.01.05 01:30 댓글주소 수정/삭제 댓글쓰기

    혹시.. 일반pc 게임이 게임 데이터를 세이브 하는 과정을 랜섬웨어 활동으로 보고 감지할수 있는건가요;;? 백업폴더로 이동도 안하고 세이브파일을 몽땅 삭제 시켜놨길래..
    근데 또 5시간 동안 잠잠하다가 느닷없이 롤백을 했다고 하니 뭐가 문젠지 알수가 없어서요 질문드립니다 ;ㅇ;

    • 앱체크는 파일 수정 과정에서 백업은 할 수 있지만 삭제는 하지 않는 것으로 생각됩니다. 무슨 게임이고 세이브 파일 확장명이 뭔가요? 문제가 있다면 제작사에 문의해 보시기 바랍니다.

  • 사슴곰 2016.01.05 10:05 댓글주소 수정/삭제 댓글쓰기

    아 게임은;; PC로 플레이 하는 영웅전설-벽의궤적 이라고 중국어판에 한글패치가 된 게임입니다.
    세이브파일 확장자는 jpg, txt, dat 3가지로 나눠서 저장되는데 특이한 점이 그 게임이 실행된 이후부터 앱체크에 감지되기까지 저장된 파일만 전부 삭제가 됐더라고요.
    다른날 저장된것들은 정상이었고요. 백업폴더 열어보니 삭제된것들 중에서도 극히 일부만 백업되있더라고요.

    만약 컴퓨터에 큰 이상이 없는 상황이라면 실행시 제외라도 할까 싶어서 여쭤보았습니다 ;ㅇ;



    • 해당 이슈는 제작사에 전달해 드렸으며 조만간 수정된 패치가 나온다고 하니 재확인해 보시기 바랍니다.

      만약 불편하시다면 임시로 랜섬웨어 사전 방어 옵션을 해제하시기 바랍니다.

    • 사슴곰 2016.01.05 12:46 댓글주소 수정/삭제

      답변 너무 감사드립니다.

  • Hiki 2017.06.11 14:41 댓글주소 수정/삭제 댓글쓰기

    마지막 사진에 나온 cryptowall 3.0 exe 랜섬에 대해 해쉬값 제공해주실수있우신지요..?

  • 달공이 2020.02.23 22:46 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 Backup(AppCheck) 폴더 삭제방법을 찾다가 이 포스팅을 봤습니다. 오래된 포스팅이라 이 댓글을 못 보실 수도 있겠지만..
    해당 폴더를 삭제하려는데 '랜섬웨어 대피소 사용' 체크를 해제해도 삭제가 안 되고, 앱 체크 실시간 검사를 중지해봐도 마찬가지였습니다.
    대피소 비우기를 하면 D.E 드라이버는 다 삭제가 되는데 C드라이버는 관리자권한이 필요하다고 뜨네요. 그런데 현재 사용 중인 계정인 관리자계정입니다.
    시스템 복원을 할 때도 이 폴더가 문제가 되길래 앱 체크를 삭제하고 다른 프로그램을 사용하려는데, 이 폴더도 삭제하고 싶습니다.
    혹시 다른 삭제방법 아시면 답변 부탁드릴게요.

    • 앱체크 메인 화면의 휴지통 아이콘을 클릭하여 내부 파일을 먼저 삭제하시기 바랍니다. 그리고 앱체크 설치 환경에서는 대피소 폴더는 사용 여부와 무관하게 항상 생성됩니다.