랜섬웨어 대응책
2021.03.17 23:51
3주 전에 제가 직접 겪은 랜섬웨어 감염기
1. 램섬웨어 감염 인지
2. 즉시 PE로 부팅, 자료 날린다 생각하고
연결된 USB포맷, 윈도 포맷 진행
3. qphotorec_win.exe로 복구시도
* 성급히 포맷하지 않았어도 되는데 하는 생각으로 후회.
최대한 빨리 숙주가 활동 못하는 상황을 만들고(예:pe부팅)
감염 안된 파일 백업 및 qphotorec_win.exe로 복구시도 하는게 최선이라 생각...
제가 버리지 않고 보관 중인 랜섬웨어 감염파일
몇 년 간 수집한 스크립트가 들어 있는 파일인데 복구 못했습니다. ㅠㅠ
qphotorec_win.exe로 복구한 파일들
pw cjdfkrqhfxprl
<자료 검색> 누군가에겐 유용할 것 입니다.^^
_BootAll_v5.0.ahk https://windowsforum.kr/gallery/17861901
_CaptureAll_v1.1.ahk https://windowsforum.kr/gallery/17936479
coming soon...
댓글 [12]
-
cungice 2021.03.18 00:27
-
못말리는짱구 2021.03.18 00:53
복원도 가능한 건가요?
-
도전정신 2021.03.18 03:30
매크로인가요...?
-
촌로 2021.03.18 08:38
얼마 전에 필이 꽂힌 옛날 영화 한 편 다운 받으려다
컴 사용이래(40여년 정도) 처음으로 이 눔에 걸려 1.2테라 정도의 영화 음악 컴자료들을
망설임없이 포멧으로 안락사 시킨 적이 있네요...아까운 맘이야 더할 나위가 없었지만
한 편으론 속이 시원하더라구요. 확장자변경이라길래 이런 방법?이 하며 받아봅니다.
수고많으셨고 감사합니다.
-
lakeside 2021.03.18 10:45
감사합니다 ^^
-
메리아 2021.03.18 10:53
주의!!! 이거 함부로 실행하지 마세요.무슨 내용인가 했더니...단순하게 확장자만 지워버리는거네요.원본 보존해서 기록하는 기능도 없을뿐더러원래 무슨 파일인지 모르면 복구가 거의 어렵습니다.(파일 헤더가 있기 때문에 대부분 복구가 불가능하진 않을지라도,간단히 저지르는 것에 비해 수십 배는 훨씬 어려운 작업입니다.)애초에 이러면 본인도 거의 실행을 못하고(물론 확장자 관계없이 파일헤더 읽어서 자기지원 파일이면 인식해서 열어주는 프로그램들이 많이 있긴 합니다.)랜섬웨어가 확장자 없는 것도 건드는 형식이면 완전히 무용지물입니다.컴맹에겐 이게 랜섬웨어급입니다. ㅡㅡ어지간하면 수고하셨다고 해드리고 싶으나역으로 많은 사람에게 피해입히는 것이기에 경고를 안할수가 없습니다.악의적으로 올리신건 아닌듯 합니다만피해 입는 사람에겐 충분히 악의적일 수 있으니 삭제하시는게 좋을거 같습니다.확장자 부분을 따로 저장하는 것이 보이지 않아
단순히 날리는 것으로 오인했습니다.
너무 성급하게 위험하게 표현한점 사과드립니다.
-
촌로 2021.03.18 11:00
그렇군요...궁금해서 몇 파일 테스트 해보려 했었는데...감사합니다.
-
청락 2021.03.18 12:13
123.txt ---> txt123
이렇게 수동으로 만드는 겁니다.
아무리 컴맹이라도.....
txt123 ---> 123.txt 로 고치면 복원되는 단순한 것을 모를리는 없죠.
랜섬웨어급이라는 표현이 이해가 안 되네요..
일단 파일은 내립니다.
-
메리아 2021.03.18 13:31
그렇군요.
대강의 개요를 봤을때 exetension 부분을 날리는 것으로 봤지
파일명 맨 앞에 붙인다고 파악하지는 못했네요.
따로 "저장"되는 부분이 없어서 아예 날리는 것으로 봤습니다.
너무 위험하게 표현한 점 사과드립니다.
-
청락 2021.03.18 13:52
아닙니다.^^
랜섬웨어 만드는 놈 들 미워요.
-
몽당연필1개 2021.03.18 11:24 ㅋㅋㅋㅋ
약 200명이 미끼물음
-
내꼬 2021.03.18 11:29
신박한 아이디어 이긴 한데
랜섬웨어는 확장자를 가리지 않습니다.
메리아님이 피드백한 내용중 해당 파일에 정보가 기록되지 않는 부분이 문제가 될것으로 보입니다.
1. 정보(위치,확장명등 원본정보)
2. 이동시 정보 변동
3. 수정/삭제시 정보 변동
동반되는 정보가 시스템상에서 필요하게 될것으로 보입니다.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) | gooddew | - | - |
| 41491 | win7 운영체제를 어떻게 받을수있나요 [4] |
|
1627 | 08-08 |
| 41490 | 공식쳇방인 irc 체널엔 1명도 없어요 [1] | DaRtH | 1473 | 08-08 |
| 41489 | ATI그래픽사용중이신분 [17] |
|
2162 | 08-08 |
| 41488 | 테크넷에 파일 올라온 날짜... [3] |
|
1525 | 08-08 |
| 41487 | xp 다시 엎다.. [3] |
|
1450 | 08-08 |
| 41486 | 아직 마크키 전화인증 가능한데......... [10] |
|
4448 | 08-09 |
| 41485 | 윈7 인증관련 질문입니다.(+MAK키 전화인증) [2] |
|
3017 | 08-09 |
| 41484 | 혹시 지금 모든 카테고리의 게시판에 파일 첨부 되시나요?? |
|
1261 | 08-09 |
| 41483 | 테크넷에 나온 10개의 파일들을 [5] |
|
2086 | 08-09 |
| 41482 | 자동 로그인이 풀립니다. | 아이스언맨 | 1359 | 08-09 |
| 41481 | vm웨어 사용자분들 [6] | IS진 | 1394 | 08-09 |
| 41480 | 스타터 에디션 인증 [1] |
|
2629 | 08-09 |
| 41479 | OEM SETUPP 파일 관련!! 질문!!! 답변바람! |
|
1386 | 08-09 |
| 41478 | 엔터프라이즈 mak 키 전화인증 받기 [8] |
|
8060 | 08-09 |
| 41477 | 안녕하세요 윈도우7 설치시간질문좀.. [3] |
|
1316 | 08-09 |
| 41476 | 저도 한번 언어팩 통합에 도전을 해봤습니다. [1] |
|
1156 | 08-09 |
| 41475 | 삼성 하드 진동 소음 문제.. [5] |
|
1670 | 08-09 |
| 41474 | VMWARE 6.5.2 버젼 현재 업데이트 된 버젼은 검색되지 않네요 [1] |
|
1207 | 08-09 |
| 41473 | 우히히 그래픽과 하드만 바꿨을 뿐인데.. [8] |
|
1479 | 08-09 |
| 41472 | Windows 7 Professional Volume OEM? [5] | mac21 | 2739 | 08-09 |
수고 많으셨습니다. 감사합니다.