소프트웨어 [수정]랜섬웨어 감지용으로 만들어봤습니다. 개인용
2016.02.11 21:40
랜섬웨어가 그림파일을 좋아하죠. 가족사진 등으로 인질 삼으려고...
그래서 c: 사진폴더에 확인용 파일 1개를 두고...파일이름이든지, 확장자...
둘중에 하나만 변경이 되어도...강제종료 되도록 했습니다. 처음에는 알림창만 뜨게 하려다가...
암호화 들어간 시점이므로...바로 종료되게 하는게 낫겠다 싶더군요. 알림창은 뜨게 해놨습니다
근데 말이죠. 이게 랜섬웨어 제작자가 보면 무용지물일 것 같아서...공개를 안 했는데요.
혼자만? 사용하면 랜섬웨어 제작자도 모를테고...그러면 효과가 더 좋을 듯 한데요
랜섬웨어 제작자까지 이 글을 볼까요? 이 툴을 무력화시키는 건 쉽겠죠. cmd를 우선 끄고 시작하면 될테니까요
방화벽 뭐 이런 것들까지 무력화 한 다음에 작업? 시작한다고 하니까요
bat 파일 수정한날짜 보니까 2월 9일 만들었네요. 그때 공개하지 않은 이유는 위와 같이 비밀성이 필요하기도 하지만
아직 제대로 작동하는지도 의문이라서...제가 혼자 2일간 켜놓고 테스트해봤습니다. 별 문제 없네요
부팅하자마자 작동하게 해놨습니다. 1초간격으로 파일을 확인합니다
파일이 없어진 경우도 생각하여 그런 경우는 알림창만 뜨게 했습니다.
이거랑 관계없이 랜섬웨어 걸린 것을 감지는 했는데...컴퓨터를 먹통으로 해서 눈뜨고 당해야 하는 상황이라는 글도 보이더군요
그런 경우는 절대? 있을 수 없습니다. 전기코드 빼버리면 됩니다. 물리적 방법이 제일 확실합니다
랜섬웨어 걸린 것이 확실하다면 지체없이 전기선을 뽑으세요.
본체에 전원 키 이것도 먹통으로 만들 수 있기 때문에 안 됩니다. 윈도 설정에서 쉽게 변경 가능합니다.
전원키 오래 누르기는 메인보드 차원이라서 될 지 모릅니다만
아무튼 확실한 것은 물리적 전기 차단입니다. 하드 배드 나면 어떡하나? 이런거 걱정할 상황이 아니죠. 확실한 경우 지체없이 전기선 뽑으시기를..
사용법을 안 썼네요. 아무 그림파일이나 c: 사진폴더에 두시고
그 전체 경로를 bat 파일 여셔서 수정하시면 됩니다
set file="C:\Users\0\Pictures\랜섬웨어확인용.jpg"
위에 쓴대로 이 파일 없는 경우는 알림창만 뜨므로 강제종료될까 무서워하지 않으셔도 됩니다.
설정 이후에 파일 이름이나 확장자를 변경하시면 안 됩니다.[bat 종료하시고, 다시 설정부터 변경하시면 됩니다]
암호화하여 그림파일들을 파일이름이나 확장자를 변경하는걸 랜섬웨어로 감지하는 것이므로..
* 이 파일이 정말 랜섬웨어를 감지하여 컴퓨터 강제종료까지 성공적으로 이루어졌다면....후속조치는?
절대 재부팅 하시면 안 되고요. 랜섬웨어가 계속 활개칩니다.
윈도를 다시 포맷 설치하셔야겠네요. c:에 자료가 있으시면 PE등으로 부팅하셔서 자료만 빼내시고..
* 와아, 저는 항상 재부팅만 하다 보니까 여기서도 재부팅 명령어를 넣어놨네요; 시스템 강제종료 명령어로 수정했습니다
참고로, 재부팅 된다고 하여도 로그인만 하지 않으시면 되는거지요.
------------------
2016-02-18 12:28
부팅 때 자동실행되는 걸 제거하는 방법만 뒤늦게 추가합니다.
명령프롬프트를 관리자권한으로 실행하셔서...복사/붙여넣기 하시면 됩니다
SCHTASKS /Delete /tn 랜섬웨어감지하기 /f
또는, 시작버튼 우클릭 -> 컴퓨터관리 ->작업스케줄러 -> 작업스케줄러 라이브러리
윈7은 컴퓨터 우클릭 ->관리 ->작업스케줄러 -> 작업스케줄러 라이브러리
에서 직접 삭제하셔도 됩니다.
사실 이 파일을 계속 활용하려면 부팅때 자동실행..이것도 많이 약하고, 훨씬 강하게 해야 합니다
개인적으로는 오토핫키까지 활용하여 이 bat 파일을 실시간 우선순위로 실행하여...파일이 있는지도 확인합니다.
이 오토핫키까지 먹통되면? 표가 납니다. 제 스샷 보면 화면 위에 날짜 시간이 보이죠...그게 안 보이게 됩니다. 그러면 바로 컴퓨터 종료해야겠죠
* 오사자님은 위 bat 파일만으로도 효과를 보셨다고 합니다. c:만 포맷하고 넘어가셨다고 합니다. 자료들은 이상없이...
--------------------
-이건 제거 방법 쓰기 전에 계속 썼던 글입니다-
* 현재 제가 랜섬웨어에 대한 조치 사항은
예방책으로는
1.가상머신으로 인터넷하기...[평소에 가지 않던 곳을 갈때만]
후속조치로는
2.저 bat 파일
밖에 안 쓰고 있습니다
랜섬웨어는 랜또 라고도 불립니다. 랜섬+로또...그만큼 걸리기도 어렵다는 거지요.
그래서 설마 하면서 철저히 조치하지 않고 혹시나 하면서 대충 조치하고 있습니다.
3. 외장하드 백업...
이건 랜섬웨어랑 관계없이 하드 사망이든지 무슨 일이 생길 지 몰라서 예전부터 하던 것입니다
* 이 툴은 기본적인 툴입니다. 이제 위에 말한 이 cmd를 무력화하는 것에 대비한 것도 슬슬 ..
누가 잡아 먹히느냐? 이런 게임?이군요. 제가 랜섬웨어가 발작하여도 오히려 랜섬웨어를 무력화해보려고 생각중입니다. 아직 생각단계입니다
아직 만들지도 않았습니다만, 이건 공개하면 어떻게 만들어도 랜섬웨어 제작자가 알게 되면 오히려 잡아먹힐 것 같네요;
댓글 [26]
-
선우 2016.02.11 22:01
-
피라미드 2016.02.11 22:11
고생이 많습니다
랜섬웨어에 반응하여
컴이 종료될때
안내메시지 같은것을 띄우나요
아니면 그냥 종료 되는지요
안내메시지 없이 종료가 되는경우라면
컴불량으로 종료되는 경우도 있을것 같은데
구분이 되면 좋을것 같다는 초보의 생각입니다-----------
p.s
예를 들어서
'랜섬웨어 의심으로 컴종료 합니다' 같은 안내메시지를 띄우면 좋을것 같은 생각입니다
그리고
랜섬웨어 걸리면 빠른포맷을 해도 해결(?)이 되겠지요?
-
suk 2016.02.11 22:24
네, 컴퓨터 종료가 급한 불이기 때문에
종료부터 명령어로 작동합니다만...
그 다음 알림창도 1초간격으로 3번 뜨게 했습니다.
종료할때 약간 틈이 있기 때문에...잠시 뜨는 알림창을 보실 수 있었으면 합니다만
저게 제 생각대로 작동할 지....랜섬웨어 제작자들이 한수위겠죠
랜섬웨어를 적당히 만들었으면 랜섬웨어 감지용으로 제대로 작동할 겁니다.
그냥 없으니 사용한다 정도로 생각하시고...믿지는 마세요;;
-
피라미드 2016.02.11 22:29
예...알겠습니다
그리고
제가 추가 메시지를 입력할때 답글을 다신것 같습니다
추가 질문은 랜섬웨어에 걸렸다고 판단되면
빠른포맷으로도 해결 되겠지요?
-
suk 2016.02.11 22:32
네, 보통 포맷만 하면 랜섬웨어는 제거된다고 알려졌습니다
랜섬웨어 자체보다는 랜섬웨어가 저질러놓은 암호화된 파일들이 문제입니다.
이 파일은 랜섬웨어 방어용은 아니고...파일 암호화 최소화용이라고 보시면 되겠네요.
c: 사진부터 암호화하겠죠. 순서상...c: d: e: 이런 식으로 검색하여 암호화하나보더군요.
그래서 c:에 확인 파일 넣어두고 가장 빨리 확인하려는게 목적입니다...만 생각이고, 테스트도 할 수 없고 그렇습니다
-
피라미드 2016.02.11 23:07
예..
좋은밤 되세요
-
suk 2016.02.18 12:48
다행히 "오늘을사는자"님은 위 bat 파일로 효과를 보셨다고 합니다
랜섬웨어 걸려야 bat 파일을 테스트할 수 있는 상황인데요. 다행히 오사자님께서 먼저 알려주셨습니다
-
왕초보 2016.02.11 22:17
와!!!..이런.. 기발한 아이디어가 있었네요..
감사합니다..
-
虎視 2016.02.11 23:13
SUK님 멋진 아이디어 감탄입니다.
만약, 랜섬 일마들이 그 C의 사진폴더에 있는 파일에 접근할때, 역으로 그 폴더 안에 무지막지한 랜섬할아비 정도 되는 괴물을 두어
접근 시도한 그 아이피나 그 PC에 감염케 하면, 이 배치파일이 많이 퍼질 수록 램섬 이놈들 소탕하기에 시간문제라는 생각이 듭니다.
기발한 아이디어와 실행능력 모두 훌륭하십니다.
-
오늘을사는자 2016.02.11 23:33
석님 물건을 만들어 놓으셨네요.. ^^ 3번 당해 보니 정말 감이 오긴 하더군요., 바로 셧다운 시키고 자료를 지켰습니다.
3번만에 이루어 내었지만 2번째 까지 완전 개털이 되었습니다 ^^...
이젠 정말 조심해야 겠습니다 후,.,,,
-
더원 2016.02.11 23:50
감사합니다~ 수고하셨습니다~
-
저승호랑이 2016.02.12 00:00 감사합니다^^
-
노익장 2016.02.12 06:30
감사합니다^^
-
REFS 2016.02.12 08:55
수고하셨습니다 감사합니다^^
-
네오틱 2016.02.12 11:06
새로운 도전이시네요^^ 어떤 작품이 나올지 기대됩니다.~
-
compuser 2016.02.12 12:05
랜섬웨어 감염 사례 주변에 여러 건 있습니다.
어떠한 방법이든 대비책이 필요한 상황입니다.
suk님의 수고가 그 방법들 중의 하나일 수 있을 것 같습니다.
감사합니다.^^
-
조임삼33 2016.02.12 15:09
suk 님 항상 수고 가 많습니다..
-
tiger62 2016.02.13 00:22
잘 사용 하겠습니다.
-
1992 2016.02.13 10:05
대단하신 분.....
석님감사합니다...
-
메롤 2016.02.13 21:40
ㅋㅋ 전기코드선 잡아 뽑는 것만큼은 어떤 천재 해커도 어쩌지 못하는 거지요 ㅎㅎ
-
움이 2016.02.18 01:26
가상머신이 최선인것 같네요
-
suk 2016.02.18 02:09
네, 저도 그렇게 생각합니다
그래도 가상머신을 못 돌리는 분들도 계신 것 같습니다
컴사양이 낮다든지..
나무위키에서는 의외로 가상머신에 대하여 평가가 좋지 않더군요
너무 힘들다[?] 일회성이다[?] 저는 이해가 전혀 안 가는 글이더군요
가상머신 만들기 쉽습니다. 실컴보다 훨씬 쉽죠. 그 자리에서 만들 수 있으므로..
일회성...스냅샷해서 사용하면 랜섬웨어에 당해도 바로 복구하고 또 사용할 수 있습니다. 정말 사골국이죠
어떤 점이 너무 힘들고, 일회성이라는 뜻인지 이해가 안 되더군요.
그 글 보고 그냥 그 글 쓰신 분은 가상머신 사용하지 않으신다는 것만 알았습니다.
공유폴더...할 필요도 없습니다. 바로 실컴과 가상머신 공유 됩니다.
-
★민서아빠★ 2016.02.18 01:40 석님 감사드립니다.
설명대로 확인용사진을 넣고 배치파일 경로도 수정해서 관리자 실행으로 했는데요.
아무 반응이없는게 맞는건가요? 위 사진처럼 파란창이 떠야 되는지 궁금해서 글 남겼습니다.
이상태에서 그냥 사진을 지우거나 변경하면 작동 되는건가요?
-
suk 2016.02.18 01:55
파란창이 떠야 정상입니다. 백신이 bat 파일은 삭제하는건가요?
랜섬웨어가 또 cmd로 작동해서....요즘 bat 파일도 수난시대이더군요
크롬에서도 악성파일로 일단 잡고 보더군요. 랜섬 때문에 cmd와 bat 파일 이미지 망가지네요.
마치 바이러스 같습니다. 암튼 파란창 안 보이면 작동하지 않는 겁니다.
...랜섬웨어가 사진을 삭제하진 않습니다. 암호화하여 해독하려면 돈을 내라고 하는게 랜섬입니다
그래서 파일들은 전부 있습니다. 암호화 상태로...바로 이런 점을 이용하여 파일 이름 또는 확장자가 변경되면..
랜섬웨어로 감지하는겁니다. 생각할 겨를도 없고..바로 강제종료되게 해놨습니다. 알림창은 강제종료 명령 시작 직후에 바로 뜨게 해놨습니다
...파일이 삭제된 경우는 단순히 알림창만 뜨게 했습니다. 이것도 강제종료했다가는 실수든지 우연..
또는 처음에 설정하지 않고 bat 실행하신 분들 전부 강제종료됩니다. 게다가 부팅하자마자 또 강제종료되죠
마치 바이러스 같이 되는거죠; 알림창만 떠도 바이러스 처럼 보시는 분들도 계실 겁니다. 부팅 때마다 뜬다고 ;
사실 이 파일 계속 활용하려는 경우...부팅때만 실행하게 한 것도 약합니다. 창을 닫아 버리면...아무 소용없으므로..
1분당 계속 확인하여 bat 파일이 없는 경우 다시 실행되도록 해야 하는데요..지금 상태로는 택도 없겠네요.
부팅때마다 떠도 바이러스 처럼 생각하시는 분들이 계시므로..
-
우주 2016.02.28 14:08 석님 랜섬웨어 방지툴이군요 자료 감사합니다^-^
-
굿듀님스토커 2016.04.16 13:02
랜섬웨어가 사이트이용시 걸리기 때문에 사이트에서 컴퓨터로 다운되는 걸 체크하는게 제일좋을거 같습니다.
그럼 아무리 천재라고 해도 사이트에서 무언가 다운이 되면 패킷이 변동이 되기 때문에 그 부분만 안다면 걸리기 전에 잡아낼수 있을거 같습니다.
제가 랜섬웨어가 걸려봤는데 잠깐 컴퓨터가 램이 많이 올라가는걸 봤습니다.
아는분이 그부분을 이용해서 프로그램을 만든다고 하네요!
감사합니다 석님 렌섬웨어제작자를 낚아서 잡아들이는 bat 파일을 만들어 주셨으면 합니다 ^^*