본문 바로가기
보안경고 & et cetra

랜섬웨어 (ransomware)를 제거하기 위한 마지막 방법 (INTERNET CRIME COMPLAINT CENTER)

by 글벌레 2012. 12. 26.
반응형

 

 

 

 

 이 글에서 소개한 팁은 
 INTERNET CRIME COMPLAINT CENTER뿐만 아니라
 모든 종류의 랜섬웨어 감염 및 그 외 특정 상황들에서도
 적용이 가능합니다 .

 

지난 주말부터 25일 , 크리스마스까지

대한민국의 컴퓨터들은 INTERNET CRIME COMPLAINT CENTER라는

랜섬웨어로 융단 폭격을 당한 거로 보이는데요.

 

이 랜섬웨어는 시스템에 설치된 후에

자신을 제거하기 위하여 사용자가 할 수 있는 조치들을 막아버려서

사용자의 컴퓨터를 거의 무용지물로 만들어 버립니다.

 

그리고 컴퓨터를 사용하고 싶으면 세븐일레븐(7-Eleven) 등등 근처 편의점에 가서 

5 달러를 머니 팩으로 바꾼 후에

머니 팩(MoneyPak)에 적힌 일련번호를 입력하라고 합니다.

 

제가 검색은 안 해 보았으나 머니 팩이란 거는 우리나라로 치면

아마도 해피머니 상품권 같은 것이 아닐까 여겨집니다. 

 

사실 이런 랜섬웨어의 경우 unlock code를 넣으면 해결이 되는 것인데

INTERNET CRIME COMPLAINT CENTER의 경우에는 unlock code는커녕

INTERNET CRIME COMPLAINT CENTER가 시스템에 어떤 영향을 미치는가 조차도

구글링을 아무리 해도 찾을 수가 없었습니다.

 

INTERNET CRIME COMPLAINT CENTER가 시스템에 미치는 영향을 기술한 자료를

발견할 수 없는 것은 아마도

INTERNET CRIME COMPLAINT CENTER가 시스템을 잠가 버리기 때문에

개인 사용자들 수준에서는 거의 분석이 불가능하기 때문이라고 이해가 되었는데요.

INTERNET CRIME COMPLAINT CENTER머니 팩 일련번호를 각 시스템에서 어떻게

식별하는지는 이해할 수 없는 부분입니다.

그런 면에서 본다면 이 랜섬웨어는 혹 돈만 먹고 시스템은 풀어 주지 않는 먹튀가 아닐까

여겨지기도 하는데요.

 

unlock code 또는 해결을 위한 어떤 실마리도 찾을 수 없는

이 랜섬웨어를 제거할 수 있는 방법을 이 글에서 모색해 보기로 합니다.

 

우선은 시스템 복원을 통한 해결 방법을 모색해 보는데

 

일단은 윈도우 7을 기준으로 그 방법을 알려드립니다. 

( 이 방법은 비스타윈도우 8에서도 적용이 가능할 것이지만 , XP에서는 안 됩니다.)

 

본체 전원 넣자마자 F8을 연타해 뜨는 화면에서

 

 

컴퓨터 복구를 택한 후에

 

 

위 그림에서 녹색 박스 친 시스템 복원을 택하여 
랜섬웨어가 설치되기 전의 시점으로 시스템 복원을 해보시기 바랍니다.

 

만약 시스템 복원이 안 되면
시스템 이미지 복구를 통해 윈도우 복구를 하면 컴퓨터가
이전에 백업된 이미지의 상태로 돌아갑니다.
단 , 이 방법은 이전에 만든 이미지가 있어야 하며 ,

복구 시 이미지 생성 이후에 저장되었던 모든 개인 자료들은 소실됩니다.

 

XP의 경우에는
본체 전원 넣자마자 F8을 연타해 뜨는 화면에서

 

 

안전 모드(명령 프롬프트 사용)를 택하고 부팅합니다.

부팅 후 명령줄에 explorer.exe라고 치고 엔터를 하게 되면

 

 

위 그림에서처럼 시스템 복원 사용 여부를 묻는 창이 뜨는데
여기서 아니오(N) 버튼을 클릭하면 시스템 복원이 가능하니
랜섬웨어 설치 전 시점으로 시스템 복원을 하면 됩니다.

 

참고로 언급하면
시스템 복원 시에는 개인 자료들의 소실은 없습니다.

다만 , 바탕화면에 저장한 자료들
복원을 하는 복원 시점 이후에 받아 놓은 파일이 프로그램 설치 파일과 같은

실행 파일(. exe)인 경우에는 소실됩니다.

 

윈도우 7이든 XP이든 간에 시스템 복원이 불가능한 경우에는

 

Ctrl + Alt + Del 키를 통해 작업 관리자를 실행할 수 는 경우라면

 

Ctrl + Alt + Del을 눌러서 뜨는 작업 관리자에서

 

 

 

파일>새 작업(실행...)(N)에서

 

 

 

iexplore.exe라고 쓰고 확인 버튼을 클릭해서 인터넷 익스플로러는 실행이 된다면

아래 링크 글들에서 소개한 필요한 파일들을 받아 놓으신 후에

아래 링크 글에서 소개한 rkill을 실행 후 곧바로
Malwarebytes' Anti-Malware를 설치해 랜섬웨어 제거를 시도해 보시기 바랍니다.

 

Malwarebytes' Anti-Malware

 

혹시 rkill이 먹히지 않을 경우에는
아래 링크 글을 참조해서 KillSwitchrkill 대신에 사용하시기 바랍니다.

 

수상한 프로세스 클리너 - Comodo KillSwitch

 

 

[ 참조 1]


 Ctrl + Alt + Del이 먹히지 않는 경우에는 
 윈도우 키 + R을 통해 실행 창은 실행이 되는지도 보시기 바랍니다 .


 실행이 된다면 




 
 실행 창에  taskmgr이라고 쓰고 확인을 눌러 작업관리자 실행이 가능합니다 .
 물론 여기서 iexplore.exe라고 적고 확인을 누르면
 인터넷 익스플로러의 실행이 가능할 수도 있지만 ,
 
 제가 굳이  작업 관리자를 실행하라고 한 이유는 아래 [참조 2]를 보시기 바랍니다 .

 [ 참조 2]


 작업 관리자가 실행만 된다면
 프로세스들을 볼 수 있으므로


 수상해 보이는 프로세스들은 한 번 죽여 보시기 바랍니다 . 


 만약 어떤 프로세스가 죽었을 때
 랜섬웨어가 꺼진다면
 곧바로
 파일 검색을 통해 해당 프로세스를 찾아서 삭제를 하십시오 .
 (프로세스명 = 파일명입니다 .)


 삭제 후에 재부팅 시 파일이 없다는 오류 메시지 창이 뜬다면
 아래 링크 글에서 설명한 대로 Autoruns를 이용해 조치를 하면
 부팅 시 뜨는 오류 메시지 창은 해결이 됩니다 .


 부팅 시 뜨는 다양한 오류 창들에 대한 대처법
 
 물론  이 방법으로 해결을 본 경우에는 Malwarebytes' Anti-Malware와 같은 검사 도구를
 통해 추가적인 검사 또는 다른 방법을 통한 추가적인 검토가 필요합니다 .





  혹시나 해서 한 가지만 언급을 하면
 프로세스를 죽이는 걸 두려워 할 필요는 없습니다 .
 프로세스를 죽여서 발생하는 오류의 경우 , 그게 어떠한 오류이든지 간에
 시스템 재부팅만 하면 해결이 됩니다 .
 수상해 보이는 프로세스라면 마음놓고 막 죽여 보세요 .

 

만약 위에 언급한 방법으로 인터넷 익스플로러 또는 작업 관리자를 실행할 수 는 경우라면

다른 컴퓨터에서
아래 링크들을 방문해서 Live CD 검사 도구들을  받아서
CD 또는 USB에 담은 뒤 (ISO 파일로 구우셔야 합니다.)

구운 CD  또는 USB로 부팅해 윈도우를 배제한 상태에서 검사를 하셔야 합니다.

 

http://www.freedrweb.com/livecd/?lng=en

 

http://www.avg.com/us-en/avg-rescue-cd
 
참고로 사족을 달면
혹시라도 부팅 순서 변경을 모르시는 경우 ,
그래서 CD/DVD로 부팅을 못하시는 분들은
아래 안랩이 제공하는 글을 참조해 보시기 바랍니다.

 

부팅 순서를 변경하는 법

 

 

이 글이 유익했다면 아래 손꾸락 모양의 추천 버튼을 꾹꾹 눌러 주시기 바랍니다 .
추천에는 다음 로그인은 필요 없습니다 .
그러나 이왕에 추천해 주실려면 다음에 로그인 후에 추천을 해주시면 더 좋은데요 .....
다음에 로그인 추천은 다음에 로그인 하고 이 글에서 추천을 한다고 되는 게 아니고요 .
아래 손꾸락 모양 버튼 오른쪽으로 구독이라고 보이실 터인데 그 구독을 눌러서 다음에 로그인 후에
글벌레를 구독하시면 이 글의 제목이 My View란 탭에서 보일 겁니다 .
그 글 제목을 클릭해 뜨는 창에서 추천해 주시기 바랍니다 ^ ^*

추천은 제 글이 유익했었다고 보내 주시는 메시지이고
그런 메시지는 글벌레가 글을 계속 발행할 수 있는 힘의 근원이 되어 줄 겁니다 ^ ^*
반응형

댓글