일부 악성코드 감염 시 자신의 행위를 종료하지 못하도록 작업 관리자(Taskmgr.exe)를 실행하지 못하도록 방해하는 행위가 있을 수 있습니다.
다양한 방법으로 작업 관리자 실행을 방해할 수 있는데, 그 중에서도 레지스트리 정책을 통해 실행되지 않도록 하는 방법을 해제하는 방법을 살펴보도록 하겠습니다.
예를 들어 특정 랜섬웨어(Ransomware) 감염으로 인해 작업 관리자를 실행하지 못하도록 레지스트리 값을 추가한 경우 작업 관리자 실행 메뉴가 비활성화되어 있는 것을 확인할 수 있습니다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr = 1
레지스트리 값을 확인해보면 시스템 정책 영역에 DisableTaskMgr 값이 추가되어 있으며, 이로 인하여 작업 관리자 실행 메뉴 비활성화 및 "관리자가 작업 관리자를 사용하지 못하도록 했습니다." 메시지가 생성됩니다.
위와 같은 증상으로 작업 관리자를 실행할 수 없는 경우에는 레지스트리 편집기(regedit)를 실행하여 "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" 값을 찾아 삭제하시기 바랍니다.
하지만 일부 감염 환경에서는 레지스트리 편집기(regedit) 실행을 방해할 수 있으므로 명령 프롬프트(cmd.exe)를 통해 해당 레지스트리 값을 삭제하는 방법을 알아보도록 하겠습니다.
명령 프롬프트(관리자)를 실행하여 "REG DELETE "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f" 명령어를 입력 후 실행하시면 작업 관리자를 실행할 수 있습니다.
작업 관리자 실행을 방해하는 방법은 위의 방법 외에도 다양하게 존재할 수 있으며, 특히 실행 중인 악성 파일이 작업 관리자 실행을 지속적으로 차단할 수 있으므로 Process Explorer와 같은 작업 관리자 대체 프로그램을 함께 활용하시면 도움이 될 수 있습니다.