설치 / 사용기

소프트웨어 [수정]랜섬웨어 감지용으로 만들어봤습니다. 개인용

2016.02.11 21:40

suk 조회:4418 추천:13

랜섬웨어가 그림파일을 좋아하죠. 가족사진 등으로 인질 삼으려고...

그래서 c: 사진폴더에 확인용 파일 1개를 두고...파일이름이든지, 확장자...

둘중에 하나만 변경이 되어도...강제종료 되도록 했습니다. 처음에는 알림창만 뜨게 하려다가...

암호화 들어간 시점이므로...바로 종료되게 하는게 낫겠다 싶더군요. 알림창은 뜨게 해놨습니다

근데 말이죠. 이게 랜섬웨어 제작자가 보면 무용지물일 것 같아서...공개를 안 했는데요. 

혼자만? 사용하면 랜섬웨어 제작자도 모를테고...그러면 효과가 더 좋을 듯 한데요

랜섬웨어 제작자까지 이 글을 볼까요? 이 툴을 무력화시키는 건 쉽겠죠. cmd를 우선 끄고 시작하면 될테니까요

방화벽 뭐 이런 것들까지 무력화 한 다음에 작업? 시작한다고 하니까요

bat 파일 수정한날짜 보니까 2월 9일 만들었네요. 그때 공개하지 않은 이유는 위와 같이 비밀성이 필요하기도 하지만

아직 제대로 작동하는지도 의문이라서...제가 혼자 2일간 켜놓고 테스트해봤습니다. 별 문제 없네요

부팅하자마자 작동하게 해놨습니다. 1초간격으로 파일을 확인합니다

파일이 없어진 경우도 생각하여 그런 경우는 알림창만 뜨게 했습니다.


랜섬웨어감지하는bat파일만들어봤습니다2016-02-11_213355.jpg



이거랑 관계없이 랜섬웨어 걸린 것을 감지는 했는데...컴퓨터를 먹통으로 해서 눈뜨고 당해야 하는 상황이라는 글도 보이더군요

그런 경우는 절대? 있을 수 없습니다. 전기코드 빼버리면 됩니다. 물리적 방법이 제일 확실합니다

랜섬웨어 걸린 것이 확실하다면 지체없이 전기선을 뽑으세요. 

본체에 전원 키 이것도 먹통으로 만들 수 있기 때문에 안 됩니다. 윈도 설정에서 쉽게 변경 가능합니다. 

전원키 오래 누르기는 메인보드 차원이라서 될 지 모릅니다만

아무튼 확실한 것은 물리적 전기 차단입니다. 하드 배드 나면 어떡하나? 이런거 걱정할 상황이 아니죠. 확실한 경우 지체없이 전기선 뽑으시기를..


사용법을 안 썼네요. 아무 그림파일이나 c: 사진폴더에 두시고 

그 전체 경로를 bat 파일 여셔서 수정하시면 됩니다

set file="C:\Users\0\Pictures\랜섬웨어확인용.jpg"

위에 쓴대로 이 파일 없는 경우는 알림창만 뜨므로 강제종료될까 무서워하지 않으셔도 됩니다. 

설정 이후에 파일 이름이나 확장자를 변경하시면 안 됩니다.[bat 종료하시고, 다시 설정부터 변경하시면 됩니다]

암호화하여 그림파일들을 파일이름이나 확장자를 변경하는걸 랜섬웨어로 감지하는 것이므로..


* 이 파일이 정말 랜섬웨어를 감지하여 컴퓨터 강제종료까지 성공적으로 이루어졌다면....후속조치는?

절대 재부팅 하시면 안 되고요. 랜섬웨어가 계속 활개칩니다. 

윈도를 다시 포맷 설치하셔야겠네요. c:에 자료가 있으시면 PE등으로 부팅하셔서 자료만 빼내시고..


* 와아, 저는 항상 재부팅만 하다 보니까 여기서도 재부팅 명령어를 넣어놨네요; 시스템 강제종료 명령어로 수정했습니다

참고로, 재부팅 된다고 하여도 로그인만 하지 않으시면 되는거지요.

랜섬웨어확인용2.bat

------------------

2016-02-18 12:28 

부팅 때 자동실행되는 걸 제거하는 방법만 뒤늦게 추가합니다. 

명령프롬프트를 관리자권한으로 실행하셔서...복사/붙여넣기 하시면 됩니다

SCHTASKS /Delete /tn 랜섬웨어감지하기 /f


또는, 시작버튼 우클릭 -> 컴퓨터관리 ->작업스케줄러 -> 작업스케줄러 라이브러리

윈7은 컴퓨터 우클릭 ->관리 ->작업스케줄러 -> 작업스케줄러 라이브러리

에서 직접 삭제하셔도 됩니다. 


사실 이 파일을 계속 활용하려면 부팅때 자동실행..이것도 많이 약하고, 훨씬 강하게 해야 합니다

개인적으로는 오토핫키까지 활용하여 이 bat 파일을 실시간 우선순위로 실행하여...파일이 있는지도 확인합니다.

이 오토핫키까지 먹통되면? 표가 납니다. 제 스샷 보면 화면 위에 날짜 시간이 보이죠...그게 안 보이게 됩니다. 그러면 바로 컴퓨터 종료해야겠죠


* 오사자님은 위 bat 파일만으로도 효과를 보셨다고 합니다. c:만 포맷하고 넘어가셨다고 합니다. 자료들은 이상없이...


--------------------

-이건 제거 방법 쓰기 전에 계속 썼던 글입니다-


* 현재 제가 랜섬웨어에 대한 조치 사항은

예방책으로는 

1.가상머신으로 인터넷하기...[평소에 가지 않던 곳을 갈때만]

후속조치로는 

2.저 bat 파일 

밖에 안 쓰고 있습니다


랜섬웨어는 랜또 라고도 불립니다. 랜섬+로또...그만큼 걸리기도 어렵다는 거지요. 

그래서 설마 하면서 철저히 조치하지 않고 혹시나 하면서 대충 조치하고 있습니다.


3. 외장하드 백업...

이건 랜섬웨어랑 관계없이 하드 사망이든지 무슨 일이 생길 지 몰라서 예전부터 하던 것입니다


* 이 툴은 기본적인 툴입니다. 이제 위에 말한 이 cmd를 무력화하는 것에 대비한 것도 슬슬 ..

누가 잡아 먹히느냐? 이런 게임?이군요. 제가 랜섬웨어가 발작하여도 오히려 랜섬웨어를 무력화해보려고 생각중입니다. 아직 생각단계입니다

아직 만들지도 않았습니다만, 이건 공개하면 어떻게 만들어도 랜섬웨어 제작자가 알게 되면 오히려 잡아먹힐 것 같네요;

번호 제목 글쓴이 조회 추천 등록일
[공지] 사용기/설치기 이용안내 gooddew - - -
3819 윈 도 우| 빈자리님 Windows7 Pro K x86 VMware설치과정 스샷 해봤습... [14] 선우 2309 4 02-13
3818 윈 도 우| 빈자리님 무봉인 Windows7 Pro K x64 설치 하였습니다 [23] 선우 3519 7 02-12
3817 소프트웨어| 석님의 랜섬웨어 감지용 프로그램 좋네요 [5] 오늘을사는 3298 2 02-12
» 소프트웨어| [수정]랜섬웨어 감지용으로 만들어봤습니다. 개인용 [26] suk 4418 13 02-11
3815 기 타| 외장하드 멀티 부팅하기-멀티 윈도 설치와 PE부팅 [28] suk 9515 12 02-11
3814 소프트웨어| 프리모캐쉬.. 성능이 좋아졌군요.. [6] bleach 3706 1 02-09
3813 소프트웨어| 7 Star 브라우저 잠깐 사용기 [7] BLIFE 3371 2 02-06
3812 윈 도 우| GWX 폴더 접근 제한하기 [1] gooddew 1937 3 02-06
3811 하드웨어| 최근 구입한 4테라 배드섹터 하드 근황 [6] suk 3489 1 02-06
3810 윈 도 우| 일전에 윈도우7 만능고스트를 만들다 [5] jang3554 4166 1 02-05
3809 윈 도 우| 윈10 10586빌드 통합용 테스트 [19] suk 5336 12 02-05
3808 윈 도 우| 윈도우10 NetWork Ux Broker 에러 번개 1551 0 02-05
3807 소프트웨어| WinNTSetup.exe도 가상머신 vhd 설치 가능하군요 [9] suk 2677 6 02-05
3806 윈 도 우| EZ vhd용량축소 [9] 虎視 2455 6 02-04
3805 윈 도 우| USB3.0 통합 윈도우 설치시 뜬금없는 0x0000007E 오류 [5] 센터짱 3632 3 02-03
3804 기 타| Multi_Setup 테스트 해봅니다 -2탄- [25] suk 6509 8 02-02
3803 기 타| Multi_Setup 테스트 해봅니다 [23] suk 3803 15 01-31
3802 하드웨어| 온쿄 a-9000r [3] 광복동 3186 1 01-31
3801 윈 도 우| ESP접근방법의 차이 mountvol 과 diskpart 문자할당 [7] 해피밥 1684 3 01-31
3800 윈 도 우| 멀티 윈도 설치 되는군요. 이걸 아직 모르고 있었네요 [23] suk 4180 8 01-31
XE1.11.6 Layout1.4.8