알림: 충청 북도 교육청 메일을 통해 필자에게 전래 동요를 부탁하신 분은 누구세요?
희롱한는 건 아니죠?..
컴퓨터의 주요파일을 잠궈버리는 랜섬웨어
요즘 커뮤니티 게시판들에서 랜섬웨어에 감염되었다며 발을 동동 구르는 게시물들이 종종 보입니다.
일반 백신들은 요놈을 잡지 못한담니다..또 만능 백신이라고 사기치는 한국산 머저리 백신회사 광고도 있습니다.
이 포스팅을 읽으시면 유용하고 아바스트 백신은 신용이 있습니다.
그렇다고 모든 백신이 모든 감염을 100% 보장을 하지는 못하니 힝상 조심해야 합니다.
저장되어 있던 주요 문서 파일이나 사진 파일 등 대부분의 데이터 파일이 이상한 파일들로 바뀌어 열 수 없는 상태가 되었다며
해결책을 묻는 경우가 대부분입니다.
랜섬웨어(Ransomware)란 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어를 합친 용어입니다.
사용자 컴퓨터에 담긴 파일들을 암호화시켜 사용할 수 없게 잠궈버린 뒤,
돈을 입금하면 암호화된 파일 복구 키(열쇠)를 보내 주겠다는 경고 메시지를 띄웁니다.
몸값을 지불하면 인질을 석방하겠다는 식인데, 돈을 보내어 키를 받은 사람도 있지만 모든 파일이 복구되는 것은 아니며
돈만 받고 잠적해 버리는 경우도 많다고 합니다.
암호화된 파일을 풀려면 550달러를 내놔라. 페이팔로 풀려면 1000달러!
한 번 걸리면 컴퓨터에 저장된 데이터 파일의 대부분을 사용하지 못하게 될 뿐 아니라
같은 네트워크에 연결된 다른 컴퓨터의 파일까지 잠겨 회사 업무가 마비된 경우도 많습니다.
지난 해에는 국내 대형 커뮤니티 사이트의 광고서버가 해킹을 당해,
단지 자주 가던 커뮤니티 사이트를 방문했을 뿐인 수많은 사람들의 컴퓨터가 랜섬웨어에 감염된 경우도 있습니다.
랜섬웨어 전용 백신, 앱체크(AppCheck)
저도 유난히 해외 사이트들을 많이 돌아다니는터라 가끔 랜섬웨어가 걱정되기도 합니다.
바탕 화면에 내놓은 문서 파일이 갑자기 다른 이름으로 바뀌는 등 뭔가 이상한 낌새(?)를 느끼면
랜선을 뽑고(노트북은 무선 인터넷을 끄고) 컴퓨터의 전원을 강제 종료하면 그나마 피해를 최소화 할 수 있다는 얘기도 있지만,
말이 쉽지 낌새를 알아차릴 때쯤에는 이미 늦어버린 경우가 대부분입니다.
요즘 V3나 알약과 같은 백신들이 랜섬웨어 방어 기능을 탑재했다고 하지만,
랜섬웨어 방어 기능 때문에 잘 사용하고 있던 Avast 백신을 포기할 생각은 없었습니다.
Avast를 수 년째 사용하면서 바이러스 때문에 속 썩였던적이 없었던 만큼 믿고 사용하긴 하지만
Avast 자체에 랜섬웨어에 대한 언급이 없었기에 랜섬웨어 감지/차단 기능을 갖춘 전용 백신이 있었으면 좋겠다 생각했는데,
마침 앱체크(AppCheck)라는 랜섬웨어 전용 백신을 알게 되었습니다.
사실 개인적으로는 출시된지 얼마되지 않은 백신은 그리 신뢰하지 않는 쪽인데,
믿고 사용중인 악성코드 제거 프로그램인 멀웨어 제로킷(MZK)로 노트북을 검사하던 중,
검사결과 마지막 화면에서 앱체크에 대한 짤막한 홍보 문구가 보이더군요.
2015/12/29 - 강력한 악성코드 제거 프로그램, Malware Zero Kit(MZK) 소개와 악성코드 치료 과정
마침 랜섬웨어 전용 백신이 필요했던데다, MZK에 언급된 백신이라면 한 번 써봐도 괜찮겠다 싶어 사용해보게 되었습니다.
참고: 필자 비타 촌노는 malwarebytes anti-exploit premium란 소프트웨어를 쓰고 있습니다.
앱체크 설치 및 사용법
사실 앱체크는 따로 설명할 필요가 없을 정도로 설치 및 사용법이 간편합니다.
먼저 앱체크는 제작사인 체크멀 웹사이트에서 다운로드할 수 있습니다.
무료 버전인 앱체크는 개인만 사용할 수 있으며 기업이나 관공서에서는 유료버전인 앱체크 프로를 구입해야 합니다.
저는 무료 버전인 앱체크를 다운로드했고, 설치를 시작했습니다.
설치 과정은 일반적인 프로그램과 같이 [다음] 버튼을 클릭해 진행합니다.
앱체크 실행에는 비주얼C++ 재배포 패키지가 필요한데, 이 파일은 앱체크 설치과정에서 함께 설치됩니다.
만일 앱체크 설치 및 앱체크 실행 과정에서 에러가 발생한 다면
마이크로소프트 웹사이트에서 비주얼C++ 재배포 가능 패키지를 직접 다운로드하여 설치해도 됩니다.
설치가 끝나고 앱체크가 실행되면 바탕화면 오른쪽 알림영역에 '실시간 보호 중'이라고 뜹니다.
알림 영역 아이콘을 클릭해 띄운 앱체크 화면은 큼직한 아이콘이 간결하게 느껴집니다.
앱체크 실행화면 가운데 체크 표시를 클릭하면 시스템 검사가 진행됩니다.
물론 따로 검사를 하지 않아도 앱체크 실행과 함께 랜섬웨어에 대한 실시간 감시가 시작됩니다.
앱체크의 상단 아이콘 중 톱니바퀴 모양의 [옵션] 버튼을 누르면 옵션 화면이 뜹니다.
화면은 기본 설정된 옵션을 그대로 둔 상태인데, 별도의 옵션 설정 없이 기본 값 그대로 사용해도 무방합니다.
[안정성이 확인되지 않은(미분석) 프로그램 차단] 옵션의 기본 값은 해제된 상태인데,
제 경우 이미 Avast 백신에서 해당 기능이 실행되고 있어 따로 체크하지 않았습니다.
[랜섬가드] 탭 역시 기본 설정된 값을 그대로 사용했습니다.
[로컬 드라이브만 보호] 항목을 체크할 경우
네트워크 드라이브를 제외한 하드디스크, USB 메모리, 외장 하드 디스크만 보호하게 됩니다.
역시 특별한 이유가 없다면 [로컬 드라이브만 보호] 항목을 체크하지 않은, 기본값 그대로 사용할 것을 권합니다.
앱체크 아이콘 중 두 번째 [도구] 아이콘을 클릭하면 앱체크 사용 중 만들어진 검사 결과,
검역소 상태 등의 정보를 확인할 수 있습니다.
[일반 로그] 항목에서는 앱체크가 실행된 후 일어난 작업들을 확인할 수 있습니다.
참고로 [일반 로그] 목록 중 가장 위, 'cmd.exe 프로세스가 다수 파일을 훼손하여 즉시 차단하였습니다'는 메시지는
체크멀 사이트에서 앱체크 캅(CARB)엔진 동작 확인 방법 문서에서 테스트 파일을 다운로드 받아 실험한 내역입니다.
pdf 문서 파일의 링크를 통해 다운로드한 테스트파일에는 여러 개의 PNG 이미지 파일과 하나의 배치 파일이 들어 있었습니다.
배치파일은 이미지 파일에 텍스트를 채워넣어 파일을 변조하는 사용할 수 없도록 만드는 간단한 방식이었습니다.
앱체크의 실시간 감시가 켜진 상태에서 이 배체파일을 실행했더니
랜섬웨어 행위를 차단했으며 훼손된 파일을 복구했다는 메시지가 뜨는군요.
처음에는 실제 랜섬웨어도 아닌 단순한 배치파일을 막아내는 것이 무슨 의미가 있을까 싶었는데,
앱체크의 캅(CARB)엔진은 미리 저장된 악성코드 정보와 비교, 차단하는 방식이 아니고
변조 시점의 상황(다수의 파일에 갑자기 변화가 생기는)을 감지하는 상황인식행위기반이라고 합니다.
체크멀 사이트에서 앱체크가 랜섬웨어들을 차단하는 영상들을 확인할 수 있으며
앱체크 설치 및 사용 중 확인할 만한 도움말도 제공됩니다.
기존 사용하던 Avast 백신과 앱체크 랜섬웨어 백신을 1주일 남짓 함께 실행하여 사용해봤는데,
컴퓨터 속도 저하는 체감하지 못했으며 300MB 남짓 메모리 사용량이 늘어났지만 이 역시 생각보다는 적은 수준입니다.
무엇보다 기존 사용하던 Avast 백신과 함께 실행할 수 있는 실시간 감시 지원 랜섬웨어 백신을 원하던터라,
앞으로 특별한 문제가 없는 한 계속 사용할 생각입니다.
단, 앱체크는 랜섬웨어의 작동을 실시간으로 차단하지만 악성코드를 삭제하는 기능은 없으므로,
악성코드가 감지되면 악성코드 제거 프로그램이나 백신을 실행하여 직접 삭제해야 합니다.
랜섬웨어 감염을 막는 방법
가끔 랜섬웨어에 걸렸다며 해결책을 묻는 사람들을 보면 정말 절박함이 느껴집니다.
하지만 안타깝게도 이미 랜섬웨어에 걸린 경우라면 답이 없습니다.
돈을 보내도 키를 못받는 경우가 더 많으니, 잠겨버린 자료를 포기하고 컴퓨터를 포맷하라는 것 외에
특별한 방법이 없으니 결국 랜섬웨어에 걸리지 않는게 최선입니다.
랜섬웨어 감염을 막으려면
- 성능
좋은 백신을 설치하고
악성코드 제거 프로그램으로
주기적인 검색을 하고
2015/12/29 - 강력한 악성코드 제거 프로그램, Malware Zero Kit(MZK) 소개와 악성코드 치료 과정
2013/08/15 - 강력한 무료 백신 AVAST, 벌써 1년? 간단히 등록 갱신 하는 방법 - 윈도우
업데이트를 최신으로 유지하며
2014/12/04 - 윈도우7에 인터넷 익스플로러 11 설치하는 방법과 윈도우 업데이트 확인하는 법 - 웹표준을 지원하는 최신 브라우저를 사용하고
- 불법적인 자료(동영상, 음원 등)들을 다루는 사이트에서 뭔가 추가로 설치하라고 하는 것은 절대 클릭하지 않습니다.
- 불법 소프트웨어, 크랙, 키젠 프로그램이라고 떠도는 파일을 실행하지 말고
- 정체를 알 수 없는 스팸 메일을 열지말고, 특히 스팸메일에 포함된 링크나 첨부파일은 절대 열지 말아야 합니다.
축하한다, 돈받아가라는 내용으로 도배된 Gmail 스팸함
마지막으로 중요한 파일은 외부 저장 매체(외장하드나 USB)등에 백업하고 평상시에는 분리해 두면 랜섬웨어로 부터 보다 안전합니다.
꽤 장황해 보이지만 지금껏 들어왔던 기본 보안 수칙 그대로 인데요, 기본만 지켜도 랜섬웨어 감염으로 인한 피해는 충분히 막을 수 있습니다.