설치 / 사용기

소프트웨어 [수정]랜섬웨어 감지용으로 만들어봤습니다. 개인용

2016.02.11 21:40

suk 조회:4379 추천:13

랜섬웨어가 그림파일을 좋아하죠. 가족사진 등으로 인질 삼으려고...

그래서 c: 사진폴더에 확인용 파일 1개를 두고...파일이름이든지, 확장자...

둘중에 하나만 변경이 되어도...강제종료 되도록 했습니다. 처음에는 알림창만 뜨게 하려다가...

암호화 들어간 시점이므로...바로 종료되게 하는게 낫겠다 싶더군요. 알림창은 뜨게 해놨습니다

근데 말이죠. 이게 랜섬웨어 제작자가 보면 무용지물일 것 같아서...공개를 안 했는데요. 

혼자만? 사용하면 랜섬웨어 제작자도 모를테고...그러면 효과가 더 좋을 듯 한데요

랜섬웨어 제작자까지 이 글을 볼까요? 이 툴을 무력화시키는 건 쉽겠죠. cmd를 우선 끄고 시작하면 될테니까요

방화벽 뭐 이런 것들까지 무력화 한 다음에 작업? 시작한다고 하니까요

bat 파일 수정한날짜 보니까 2월 9일 만들었네요. 그때 공개하지 않은 이유는 위와 같이 비밀성이 필요하기도 하지만

아직 제대로 작동하는지도 의문이라서...제가 혼자 2일간 켜놓고 테스트해봤습니다. 별 문제 없네요

부팅하자마자 작동하게 해놨습니다. 1초간격으로 파일을 확인합니다

파일이 없어진 경우도 생각하여 그런 경우는 알림창만 뜨게 했습니다.


랜섬웨어감지하는bat파일만들어봤습니다2016-02-11_213355.jpg



이거랑 관계없이 랜섬웨어 걸린 것을 감지는 했는데...컴퓨터를 먹통으로 해서 눈뜨고 당해야 하는 상황이라는 글도 보이더군요

그런 경우는 절대? 있을 수 없습니다. 전기코드 빼버리면 됩니다. 물리적 방법이 제일 확실합니다

랜섬웨어 걸린 것이 확실하다면 지체없이 전기선을 뽑으세요. 

본체에 전원 키 이것도 먹통으로 만들 수 있기 때문에 안 됩니다. 윈도 설정에서 쉽게 변경 가능합니다. 

전원키 오래 누르기는 메인보드 차원이라서 될 지 모릅니다만

아무튼 확실한 것은 물리적 전기 차단입니다. 하드 배드 나면 어떡하나? 이런거 걱정할 상황이 아니죠. 확실한 경우 지체없이 전기선 뽑으시기를..


사용법을 안 썼네요. 아무 그림파일이나 c: 사진폴더에 두시고 

그 전체 경로를 bat 파일 여셔서 수정하시면 됩니다

set file="C:\Users\0\Pictures\랜섬웨어확인용.jpg"

위에 쓴대로 이 파일 없는 경우는 알림창만 뜨므로 강제종료될까 무서워하지 않으셔도 됩니다. 

설정 이후에 파일 이름이나 확장자를 변경하시면 안 됩니다.[bat 종료하시고, 다시 설정부터 변경하시면 됩니다]

암호화하여 그림파일들을 파일이름이나 확장자를 변경하는걸 랜섬웨어로 감지하는 것이므로..


* 이 파일이 정말 랜섬웨어를 감지하여 컴퓨터 강제종료까지 성공적으로 이루어졌다면....후속조치는?

절대 재부팅 하시면 안 되고요. 랜섬웨어가 계속 활개칩니다. 

윈도를 다시 포맷 설치하셔야겠네요. c:에 자료가 있으시면 PE등으로 부팅하셔서 자료만 빼내시고..


* 와아, 저는 항상 재부팅만 하다 보니까 여기서도 재부팅 명령어를 넣어놨네요; 시스템 강제종료 명령어로 수정했습니다

참고로, 재부팅 된다고 하여도 로그인만 하지 않으시면 되는거지요.

랜섬웨어확인용2.bat

------------------

2016-02-18 12:28 

부팅 때 자동실행되는 걸 제거하는 방법만 뒤늦게 추가합니다. 

명령프롬프트를 관리자권한으로 실행하셔서...복사/붙여넣기 하시면 됩니다

SCHTASKS /Delete /tn 랜섬웨어감지하기 /f


또는, 시작버튼 우클릭 -> 컴퓨터관리 ->작업스케줄러 -> 작업스케줄러 라이브러리

윈7은 컴퓨터 우클릭 ->관리 ->작업스케줄러 -> 작업스케줄러 라이브러리

에서 직접 삭제하셔도 됩니다. 


사실 이 파일을 계속 활용하려면 부팅때 자동실행..이것도 많이 약하고, 훨씬 강하게 해야 합니다

개인적으로는 오토핫키까지 활용하여 이 bat 파일을 실시간 우선순위로 실행하여...파일이 있는지도 확인합니다.

이 오토핫키까지 먹통되면? 표가 납니다. 제 스샷 보면 화면 위에 날짜 시간이 보이죠...그게 안 보이게 됩니다. 그러면 바로 컴퓨터 종료해야겠죠


* 오사자님은 위 bat 파일만으로도 효과를 보셨다고 합니다. c:만 포맷하고 넘어가셨다고 합니다. 자료들은 이상없이...


--------------------

-이건 제거 방법 쓰기 전에 계속 썼던 글입니다-


* 현재 제가 랜섬웨어에 대한 조치 사항은

예방책으로는 

1.가상머신으로 인터넷하기...[평소에 가지 않던 곳을 갈때만]

후속조치로는 

2.저 bat 파일 

밖에 안 쓰고 있습니다


랜섬웨어는 랜또 라고도 불립니다. 랜섬+로또...그만큼 걸리기도 어렵다는 거지요. 

그래서 설마 하면서 철저히 조치하지 않고 혹시나 하면서 대충 조치하고 있습니다.


3. 외장하드 백업...

이건 랜섬웨어랑 관계없이 하드 사망이든지 무슨 일이 생길 지 몰라서 예전부터 하던 것입니다


* 이 툴은 기본적인 툴입니다. 이제 위에 말한 이 cmd를 무력화하는 것에 대비한 것도 슬슬 ..

누가 잡아 먹히느냐? 이런 게임?이군요. 제가 랜섬웨어가 발작하여도 오히려 랜섬웨어를 무력화해보려고 생각중입니다. 아직 생각단계입니다

아직 만들지도 않았습니다만, 이건 공개하면 어떻게 만들어도 랜섬웨어 제작자가 알게 되면 오히려 잡아먹힐 것 같네요;

번호 제목 글쓴이 조회 추천 등록일
[공지] 사용기/설치기 이용안내 gooddew - - -
4586 윈 도 우| 팡팡tv 업데이트 [15] 땅콩 8401 13 06-22
4585 기 타| 질문게시판의 Pe_Boot.iso 테스트 [20] suk 1296 13 07-31
4584 기 타| 10PE 2차 수정 =>내 맘대로 고쳐 사용하기 [23] -L- 3030 13 08-05
4583 윈 도 우| 땅콩pe 베타버전 배포[약간의 에러로 재배포] [30] 땅콩 2874 13 07-29
4582 윈 도 우| 땅콩pe 윔 교체 [30] 땅콩 3120 13 08-13
4581 윈 도 우| Win10_x64.PE_COLite_v3-3(Last).wim 부팅 테스트 [34] 조아조아 3433 13 04-14
4580 윈 도 우| KO_Windows_7_Elite_X86_Manian 설치인증샷 [41] 선우 2754 13 11-05
4579 윈 도 우| Grub+Snapshot 백업 복구 [12] 연고 3354 13 05-15
4578 윈 도 우| 콜레오님의 Win_8.1_Enter_Super_Manian 체험기^^* [42] 예스어데이 1804 13 11-23
4577 기 타| [보너스 추가] PE에서 128GB X: 만들어봤습니다 [17] suk 3460 13 11-29
4576 윈 도 우| 6W10x64L2PE.wim 네트워크 공유확인 [28] lakeside 1541 13 05-27
4575 윈 도 우| Win10_Fix_Editions_TH2_1512_Pro(x86) 설치 및 부팅 체험기 [56] 선우 3523 13 12-09
4574 기 타| 구글드라이브 가져오는 방법 [26] suk 3572 13 04-23
4573 윈 도 우| Windows 10 Ent ltsb wmc x64 k Masterpiece 설치 부팅기 [57] 선우 4220 13 01-04
4572 소프트웨어| PartitionSaving_Tag_2.33_PECMD-Boot 백업및 복구하기 [37] 선우 2575 13 01-16
4571 소프트웨어| 윈도10 빌드 정보 보기 bat 14번째 파일 [19] suk 2691 13 08-11
» 소프트웨어| [수정]랜섬웨어 감지용으로 만들어봤습니다. 개인용 [26] suk 4379 13 02-11
4569 소프트웨어| 구글 크롬 PortableApps vs Update Installer [10] DeathWing 983 13 02-13
4568 소프트웨어| 윈도 설치 직후에 드라이브 문자 자동화 bat 테스트 [25] suk 2590 13 09-11
4567 기 타| StartIsBack - 심플한(?) 시작메뉴 [10] 왕초보 1578 13 08-27
XE1.11.6 Layout1.4.8