본문 바로가기

벌새::Security

읽기 전용(R)으로 변경된 랜섬웨어 암호화 파일 삭제 방법

728x90
반응형

최근 국내 인터넷 사용자 중에서 보안 패치를 제대로 하지 않은 상태로 웹사이트에 접속하는 과정에서 취약점(Exploit)을 통한 CryptXXX (= UltraCrypter) 랜섬웨어(Ransomware)에 감염되어 문서, 사진, 압축, 음악, 동영상 등의 파일이 .cryp1 파일 확장명으로 암호화되는 피해를 많이 당하고 있습니다.

 

그런데 파일을 암호화하는 과정에서 파일 속성값을 읽기 전용(R)으로 변경하여 일괄적으로 수정하는 행위로 인하여 피해자 중에서 .cryp1 확장명을 가진 파일을 삭제하는데 불편을 겪을 수 있기에 쉽게 삭제하는 방법을 살펴보도록 하겠습니다.

 

 

우선 일반적인 파일 일괄 삭제 방식으로 읽기 전용(R) 속성값을 가진 파일을 삭제할 경우 "액세스가 거부되었습니다." 메시지만 표시할 뿐 파일 삭제가 이루어지지 않으며, 사용자가 .cryp1 파일을 수동으로 제거하기에는 거의 불가능합니다.

 

파일 속성값을 변경하기 위해서는 명령 프롬프트(관리자)를 실행하여 ATTRIB 명령어를 이용하여 다음과 같은 명령어 조합을 만들 수 있습니다.

 

ATTRIB -R /S C: *.cryp1 또는 ATTRIB -R /S D: *.cryp1

 

위와 같은 ATTRIB 명령어를 통해 .cryp1 파일 확장명을 가진 파일은 일괄적으로 읽기 전용(R) 속성값이 해제된 것을 알 수 있습니다.

 

C:\> DEL /S *.cryp1 또는 D:\> DEL /S *.cryp1

이후 각 드라이브별로 명령 프롬프트(관리자)를 실행하여 DEL 명령어를 이용하여 .cryp1 파일 확장명을 가진 파일을 일괄 삭제할 수 있습니다.

 

단, 암호화된 .cryp1 파일 중 차후에라도 복구를 원하시는 분들은 해당 명령어 사용 시 주의하시기 바랍니다.

728x90
반응형