본문 바로가기

벌새::Security

읽기 전용(R)으로 변경된 랜섬웨어 암호화 파일 삭제 방법

반응형

최근 국내 인터넷 사용자 중에서 보안 패치를 제대로 하지 않은 상태로 웹사이트에 접속하는 과정에서 취약점(Exploit)을 통한 CryptXXX (= UltraCrypter) 랜섬웨어(Ransomware)에 감염되어 문서, 사진, 압축, 음악, 동영상 등의 파일이 .cryp1 파일 확장명으로 암호화되는 피해를 많이 당하고 있습니다.

 

그런데 파일을 암호화하는 과정에서 파일 속성값을 읽기 전용(R)으로 변경하여 일괄적으로 수정하는 행위로 인하여 피해자 중에서 .cryp1 확장명을 가진 파일을 삭제하는데 불편을 겪을 수 있기에 쉽게 삭제하는 방법을 살펴보도록 하겠습니다.

 

 

우선 일반적인 파일 일괄 삭제 방식으로 읽기 전용(R) 속성값을 가진 파일을 삭제할 경우 "액세스가 거부되었습니다." 메시지만 표시할 뿐 파일 삭제가 이루어지지 않으며, 사용자가 .cryp1 파일을 수동으로 제거하기에는 거의 불가능합니다.

 

파일 속성값을 변경하기 위해서는 명령 프롬프트(관리자)를 실행하여 ATTRIB 명령어를 이용하여 다음과 같은 명령어 조합을 만들 수 있습니다.

 

ATTRIB -R /S C: *.cryp1 또는 ATTRIB -R /S D: *.cryp1

 

위와 같은 ATTRIB 명령어를 통해 .cryp1 파일 확장명을 가진 파일은 일괄적으로 읽기 전용(R) 속성값이 해제된 것을 알 수 있습니다.

 

C:\> DEL /S *.cryp1 또는 D:\> DEL /S *.cryp1

이후 각 드라이브별로 명령 프롬프트(관리자)를 실행하여 DEL 명령어를 이용하여 .cryp1 파일 확장명을 가진 파일을 일괄 삭제할 수 있습니다.

 

단, 암호화된 .cryp1 파일 중 차후에라도 복구를 원하시는 분들은 해당 명령어 사용 시 주의하시기 바랍니다.

728x90
반응형
  • 익명 2016.06.07 01:45 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 익명 2016.09.01 22:14 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 보안 업체에서는 초반에는 읽기 전용으로 변경하면 암호화로부터 보호할 수 있다고 했지만, 그런 우회 방식이 공격자들도 알기에 현재는 읽기 전용이라고 암호화가 안되는 것이 아닌걸로 알고 있습니다.

  • 익명 2016.10.12 23:54 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 익명 2016.10.13 00:12 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 숙주 (= 악성코드) 파일이 여전히 존재할 경우 윈도우 재부팅 시마다 자동으로 실행될 수 있습니다.

      그러므로 악성 파일을 먼저 제거한 후 암호화된 파일도 삭제하시고 사용하시면 됩니다.

      단지 사용자가 어떻게 랜섬웨어에 걸렸는지 모르지만 아마도 취약점에 의한 자동 감염이라면 반드시 해당 취약점을 패치해야 합니다.

      예를 들어서 Windows, Adobe Flash Player 제품은 반드시 최신 버전을 사용하시기 바랍니다.