설치 / 사용기

소프트웨어 [수정]랜섬웨어 감지용으로 만들어봤습니다. 개인용

2016.02.11 21:40

suk 조회:4417 추천:13

랜섬웨어가 그림파일을 좋아하죠. 가족사진 등으로 인질 삼으려고...

그래서 c: 사진폴더에 확인용 파일 1개를 두고...파일이름이든지, 확장자...

둘중에 하나만 변경이 되어도...강제종료 되도록 했습니다. 처음에는 알림창만 뜨게 하려다가...

암호화 들어간 시점이므로...바로 종료되게 하는게 낫겠다 싶더군요. 알림창은 뜨게 해놨습니다

근데 말이죠. 이게 랜섬웨어 제작자가 보면 무용지물일 것 같아서...공개를 안 했는데요. 

혼자만? 사용하면 랜섬웨어 제작자도 모를테고...그러면 효과가 더 좋을 듯 한데요

랜섬웨어 제작자까지 이 글을 볼까요? 이 툴을 무력화시키는 건 쉽겠죠. cmd를 우선 끄고 시작하면 될테니까요

방화벽 뭐 이런 것들까지 무력화 한 다음에 작업? 시작한다고 하니까요

bat 파일 수정한날짜 보니까 2월 9일 만들었네요. 그때 공개하지 않은 이유는 위와 같이 비밀성이 필요하기도 하지만

아직 제대로 작동하는지도 의문이라서...제가 혼자 2일간 켜놓고 테스트해봤습니다. 별 문제 없네요

부팅하자마자 작동하게 해놨습니다. 1초간격으로 파일을 확인합니다

파일이 없어진 경우도 생각하여 그런 경우는 알림창만 뜨게 했습니다.


랜섬웨어감지하는bat파일만들어봤습니다2016-02-11_213355.jpg



이거랑 관계없이 랜섬웨어 걸린 것을 감지는 했는데...컴퓨터를 먹통으로 해서 눈뜨고 당해야 하는 상황이라는 글도 보이더군요

그런 경우는 절대? 있을 수 없습니다. 전기코드 빼버리면 됩니다. 물리적 방법이 제일 확실합니다

랜섬웨어 걸린 것이 확실하다면 지체없이 전기선을 뽑으세요. 

본체에 전원 키 이것도 먹통으로 만들 수 있기 때문에 안 됩니다. 윈도 설정에서 쉽게 변경 가능합니다. 

전원키 오래 누르기는 메인보드 차원이라서 될 지 모릅니다만

아무튼 확실한 것은 물리적 전기 차단입니다. 하드 배드 나면 어떡하나? 이런거 걱정할 상황이 아니죠. 확실한 경우 지체없이 전기선 뽑으시기를..


사용법을 안 썼네요. 아무 그림파일이나 c: 사진폴더에 두시고 

그 전체 경로를 bat 파일 여셔서 수정하시면 됩니다

set file="C:\Users\0\Pictures\랜섬웨어확인용.jpg"

위에 쓴대로 이 파일 없는 경우는 알림창만 뜨므로 강제종료될까 무서워하지 않으셔도 됩니다. 

설정 이후에 파일 이름이나 확장자를 변경하시면 안 됩니다.[bat 종료하시고, 다시 설정부터 변경하시면 됩니다]

암호화하여 그림파일들을 파일이름이나 확장자를 변경하는걸 랜섬웨어로 감지하는 것이므로..


* 이 파일이 정말 랜섬웨어를 감지하여 컴퓨터 강제종료까지 성공적으로 이루어졌다면....후속조치는?

절대 재부팅 하시면 안 되고요. 랜섬웨어가 계속 활개칩니다. 

윈도를 다시 포맷 설치하셔야겠네요. c:에 자료가 있으시면 PE등으로 부팅하셔서 자료만 빼내시고..


* 와아, 저는 항상 재부팅만 하다 보니까 여기서도 재부팅 명령어를 넣어놨네요; 시스템 강제종료 명령어로 수정했습니다

참고로, 재부팅 된다고 하여도 로그인만 하지 않으시면 되는거지요.

랜섬웨어확인용2.bat

------------------

2016-02-18 12:28 

부팅 때 자동실행되는 걸 제거하는 방법만 뒤늦게 추가합니다. 

명령프롬프트를 관리자권한으로 실행하셔서...복사/붙여넣기 하시면 됩니다

SCHTASKS /Delete /tn 랜섬웨어감지하기 /f


또는, 시작버튼 우클릭 -> 컴퓨터관리 ->작업스케줄러 -> 작업스케줄러 라이브러리

윈7은 컴퓨터 우클릭 ->관리 ->작업스케줄러 -> 작업스케줄러 라이브러리

에서 직접 삭제하셔도 됩니다. 


사실 이 파일을 계속 활용하려면 부팅때 자동실행..이것도 많이 약하고, 훨씬 강하게 해야 합니다

개인적으로는 오토핫키까지 활용하여 이 bat 파일을 실시간 우선순위로 실행하여...파일이 있는지도 확인합니다.

이 오토핫키까지 먹통되면? 표가 납니다. 제 스샷 보면 화면 위에 날짜 시간이 보이죠...그게 안 보이게 됩니다. 그러면 바로 컴퓨터 종료해야겠죠


* 오사자님은 위 bat 파일만으로도 효과를 보셨다고 합니다. c:만 포맷하고 넘어가셨다고 합니다. 자료들은 이상없이...


--------------------

-이건 제거 방법 쓰기 전에 계속 썼던 글입니다-


* 현재 제가 랜섬웨어에 대한 조치 사항은

예방책으로는 

1.가상머신으로 인터넷하기...[평소에 가지 않던 곳을 갈때만]

후속조치로는 

2.저 bat 파일 

밖에 안 쓰고 있습니다


랜섬웨어는 랜또 라고도 불립니다. 랜섬+로또...그만큼 걸리기도 어렵다는 거지요. 

그래서 설마 하면서 철저히 조치하지 않고 혹시나 하면서 대충 조치하고 있습니다.


3. 외장하드 백업...

이건 랜섬웨어랑 관계없이 하드 사망이든지 무슨 일이 생길 지 몰라서 예전부터 하던 것입니다


* 이 툴은 기본적인 툴입니다. 이제 위에 말한 이 cmd를 무력화하는 것에 대비한 것도 슬슬 ..

누가 잡아 먹히느냐? 이런 게임?이군요. 제가 랜섬웨어가 발작하여도 오히려 랜섬웨어를 무력화해보려고 생각중입니다. 아직 생각단계입니다

아직 만들지도 않았습니다만, 이건 공개하면 어떻게 만들어도 랜섬웨어 제작자가 알게 되면 오히려 잡아먹힐 것 같네요;

번호 제목 글쓴이 조회 추천 등록일
[공지] 사용기/설치기 이용안내 gooddew - - -
3835 소프트웨어| Easy2Boot 를 이용한 iso 파일 멀티 부팅만들기 설치 사례 [8] 심씨 2586 3 02-21
3834 윈 도 우| 콜레오님Win 7 Ulti x64 Super Manian (테스트-무봉)설치기 [32] 선우 2706 6 02-21
3833 소프트웨어| 부팅 때, 컴퓨터시계 맞추기 - 테스트 - [17] suk 4073 11 02-19
3832 서버 / IT| NAS서버 QNAP TS-253A 리뷰 [7] 준타 3102 5 02-18
3831 윈 도 우| 잘린 install.swm 파일 다시 install.wim으로 합치기.. [9] suk 5225 6 02-17
3830 소프트웨어| Easy2boot 를 이용한 Multi booting [6] 한스 2887 2 02-17
3829 윈 도 우| 스카이레이크용 UEFI 윈7 이미지 테스트 해봤습니다 [7] suk 3233 3 02-17
3828 소프트웨어| VHD[x] 확장하기 bat 테스트입니다 [14] suk 2773 19 02-17
3827 윈 도 우| GPT 디스크로 레거시 부팅 가능하네요. [놀람] [6] suk 2923 6 02-16
3826 윈 도 우| 콜*오님_Windows_7_Ultimate_Manian_x86 부팅기 [19] 선우 2105 5 02-16
3825 소프트웨어| 드라이브 문자 할당 & 제거하기 bat 테스트 [12] suk 2338 8 02-15
3824 윈 도 우| Windows 10 Pro K th2 10586.104 (x64) 간략 설치기 [24] it초보 4447 4 02-15
3823 윈 도 우| UEFI모드에서 보험용 EFI 파티션 만들기 [12] suk 4307 4 02-14
3822 윈 도 우| Oneclick 윈도우 7 설치 [20] 터치잇 4941 10 02-14
3821 윈 도 우| Windows 10 Version 1511 Build 10586.104 [3] Waffen-SS 3886 3 02-13
3820 윈 도 우| 윈도우7 업데이트 확인 느릴 때 해결 방법 한 가지 [12] 휘슬링 5601 6 02-13
3819 윈 도 우| 빈자리님 Windows7 Pro K x86 VMware설치과정 스샷 해봤습... [14] 선우 2309 4 02-13
3818 윈 도 우| 빈자리님 무봉인 Windows7 Pro K x64 설치 하였습니다 [23] 선우 3515 7 02-12
3817 소프트웨어| 석님의 랜섬웨어 감지용 프로그램 좋네요 [5] 오늘을사는 3298 2 02-12
» 소프트웨어| [수정]랜섬웨어 감지용으로 만들어봤습니다. 개인용 [26] suk 4417 13 02-11
XE1.11.6 Layout1.4.8