소프트웨어 랜섬웨어 감지용 2탄입니다
2016.02.29 05:35
https://windowsforum.kr/qna/7185895
질문게시판에 확장자 추가만 하는 랜섬웨어가 아니라 파일 이름과 확장자까지 랜덤하게 수정하는
CryptoWall 4.0이 있다는 제보에 따라서 수정작업에 들어갔습니다.
참고로, 기존의 bat 파일도 이런 경우에 파일이 없다는 알림창은 뜹니다. 자동 종료는 안 됩니다
이런 경우도 자동종료 되도록 보완하는 것인데요. 수정하다 보니까 다른 여러가지도 보완이 되었습니다.
잊혀진 비스타에서 테스트해봤습니다. 비스타 테스트 할 정도면 xp도 당연히 했습니다
랜섬웨어가 사진을 좋아하기 때문에...역시 c:의 사진폴더에 감시용 사진 파일을 둡니다
하나의 안전장치로 이번에는 bat 수정하셔야만 작동하게 해놨습니다.
그리고 부팅 때 자동 실행에 대한 불만들이 많으셔서...그 부분은 나중에 실행됩니다. 그리고 취소도 가능하게 만들었습니다
* 테스트 쉽게 하느라고 bat 파일도 사진 폴더에서 실행했습니다만...bat 파일은 저 멀리 두시고 실행하시는 것이 안전하실 겁니다.
드라이브 문자 순서상 맨 뒤쪽, 또는 c:만 있다 하시면 후순위 폴더에..또는 Windows 폴더에 두셔도 될 듯 한데요.
감시용 파일의 경로를 복사하셔서 bat 파일 수정하시면 됩니다.
붙여넣기 하셔서...1군데만 수정하시면 됩니다
bat 파일에도 있습니다만...c: 사진폴더로 하셔야 합니다.
다른데로 하시면...진행이 안 됩니다.
사용자 이름으로 나옵니다. 환경변수 %userprofile% - 제 경우만 suk 으로 나온 것입니다
부팅 때 실행되는 부분을 쉽게 취소할 수 있도록 만들어봤습니다. 또한 등록도 쉽습니다. 계속 0번만 누르시면 됩니다
참고로 xp는 스케줄러에 등록이 잘 되지 않기 때문에 레지스트리에 등록하게 해놨습니다.
이 2가지 선택은 자동으로 됩니다..
이런 감시 중에 파일을 건드리기만 하면 바로 강제종료 됩니다
1탄보다는 더 정확도가 높아졌습니다. 말 그대로 건드리기만 하면...종료됩니다.
그래도 부팅하자마자 실행되어서...자동 종료되는 상황을 방지 하기 위하여...
실행한 직후에 파일이 없는 경우는 이렇게 빨간창으로 경고만 하게 했습니다. 아무 키나 누르시면 강제종료 됩니다
랜섬웨어에 의하여 강제종료 되었다가 무슨 일로 컴퓨터가 종료된 지 모르시고 부팅하신 상황도 생각해서...
하여튼 여러가지 경우를 생각하니까 좀 복잡하더군요. 중립적 위치를 유지하고 있습니다.
단순히 파일이 도망친 상황도 생각하여..또는 bat 파일 테스트 삼아 파일 이름 수정하시는 분들도 계시기 때문에..
아참..열심히 만들고는 위처럼 잘 된다...생각하고 xp에서 실행하니까 choice.exe가 없더군요;;
위에 부팅 때 실행을 쉽게 0번만 입력하여 전환하는 것이 choice.exe으로 하는 겁니다.
* 파일은 계속 1초 간격으로 감시하면서도 이렇게 전환이 가능한 것이 choice의 매력이네요.
그래서 포기하기도 그렇고..다른걸로 대체할 것도 생각나지 않고
결국 xp는 choice.exe 파일을 필요로 하는 상황입니다. 그냥 참고로..xp용 choice와 비스타 이후의 choice 명령이 다르더군요
암튼 구분하여 작동하게 했습니다
참고로, 이 bat 파일은 거의 파일 유무만 확인하는 거라서...cpu 사용률은 0% 에 가깝습니다.
choice.exe [이 파일은 xp 사용자분들만 필요합니다]
* 2탄은 3번 파일부터 시작합니다. 1탄에서 2번 파일까지 올라갔습니다.
댓글 [24]
-
수퍼아저씨 2016.02.29 05:45
-
노익장 2016.02.29 07:57
감사합니다^^
-
휴레스트 2016.02.29 08:07
감사합니다^^
-
벗나무 2016.02.29 08:11 완전 감사합니다....ㅎ
강추~!!
-
선우 2016.02.29 08:48
석님을 컴퓨터 대통령으로 뽑아 드려야 합니다 모든 백성들의 컴퓨터를 위험한 랜섬웨어로 부터 보호해
주시려고 이렇게 연구 하시고 노력 하셨으니 말입니다 감사 드리구요 어리둥절 하지만 천천히 공부해서
익혀 보도록 하겠습니다 힘찬 발걸음 으로 시작하시는 월요일 되십시요 석님^^*
-
왕초보 2016.02.29 11:00
강력추천!!! 저도..한표 행사하겠습니다..
-
선우 2016.02.29 11:13
아이쿠 왕초보님 함께 지지해 주셔서 감사합니다^^*
-
cungice 2016.02.29 08:52
suk님 항상 감사합니다.
-
오늘을사는자 2016.02.29 09:08
새 버전 감사 합니다 석님 ^^
-
박사유 2016.02.29 09:44
감사합니다. suk님^^
참고입니다. 얄약을 설치하면 이상한 히든폴더가 각 파티션 마다 생기더군요.
랜섬웨어 방지용인듯합니다.^^
-
1992 2016.02.29 10:39
진심감사합니다 추천한방
-
REFS 2016.02.29 10:53
고생하셨습니다..suk님
감사드립니다..^ ^
-
왕초보 2016.02.29 11:01
능력자분은 역시 다르시네요...
컴퓨터를 사용하시는 모든 분들을 위한...멋진 작품 감사합니다
추천하고 갑니다..
즐겨찾기등을 레지에서 D 드라이브로 지정을 해놓았더니..C로만 하게 되어 있어서..
사진만 "C:\Documents and Settings\Boss\Pictures\랜섬웨어확인용사진.JPG" 이렇게 변경후에 실행하였습니다
혹시..저처럼 D에 설정하신분들은 참고하여 주십시요..
-
concentric 2016.02.29 11:50
감사합니다~~ 역쉬 suk님은 능력자군요~~^^ 잘쓰겠습니다~~
-
|라파엘| 2016.02.29 13:09
suk님.. 정말 수고가 많으십니다.
많은 분들이 크게 도움을 받을 수 있을겁니다.
정말 배치로 못하시는 것이 없네요..
배치의 중요성을 실전으로 다 보여주시네요^^
배치 기능을 확장시키는 것이 오토잇일 것이구요..
무엇보다.. suk님의 창조적인 아이디어가 가장
빛나고 중요한 것 같습니다.
거기다가.. 정말 열정적이시구요..
한마디로.. 고맙습니다.
-
흑마왕 2016.02.29 13:53
감사합니다.
조마조마한 마음이 진정되는듯 합니다.^^
-
우주 2016.02.29 14:01 석님 좋은자료 유용하게 잘 사용을 하겠습니다 감사드려요^-^
-
파도 2016.02.29 15:41
좋은 자료 감사히 잘 사용하겠습니다.
고맙습니다.
-
griffith 2016.02.29 15:45
감사히 잘 쓰겠습니다.
-
세월 2016.02.29 18:44
유용한 자료 감사하게 사용하겠습니다..
좋은 시간이 되시기 바랍니다..
-
한소망 2016.02.29 20:06
석님 수고하셨습니다.
-
한글 2016.02.29 20:58
suk님 감사합니다.
수정하는데 오래 걸리신다길래 느긋하게 기다리고 있었는데 이렇게 이른 시간에 올리시다니..
정말 고생 많으셨습니다. 잘 쓰겠습니다.
-
스킨닥 2016.05.13 08:54
랜섬걸려서 자동종료 되고 그후는 어떻게 처리를 해야 하는지요? 하드를 분리해야 하는지...?
-
suk 2016.05.13 20:39
이 파일은 예방용이라기 보다는 피해 최소화용이라고 봐야겠죠
c: 사진폴더에 미끼를 두고, 가능한 빨리 감지하여 d: 등으로 랜섬웨어가 활동하기 전에 컴퓨터 종료 되게 하는 겁니다
c:은 이미 랜섬웨어에 감염된 상태라서 포맷하셔야겠죠. 보통 윈도 설치하시는 것처럼 포맷 설치하시면 됩니다
이 파일보다는 역시 보안회사에서 만든 랜섬웨어 방지용이 나을 듯 합니다. 저도 계속 만들기 힘들어서 백신 씁니다
그래도 백신 쓰면서도 자주 작업하는데 방해된다고 실시간 감시를 꺼두기 때문에...
본문의 파일은 최후의 보루로 사용하고 있습니다
* 랜섬웨어가 이제 파일 이름도 바꾸지 않고 암호화한다고 합니다. 점점 진화?하는군요
이에 대응하여 파일 이름이 같은 경우, 해시값 확인하는 것도 만들기는 했는데요. 이 해시값 확인 유틸이 종종 멈추네요
위에 쓴대로 이게 끝없는 싸움 같은거라서 그냥 전문회사에서 만든 툴 이용하시는게 낫겠습니다
간단한 아이디어로 시작했지만 점점 복잡해져서 그만둬야겠습니다
물론 저님도ㅋ
제 고객님들도 랜섬이랑 썸 탄분들이 많이 계셔서 suk님 자료로 예방 주사를 놓아 드려야 겠어요.
감사합니다.