문서의 임의 삭제는 제재 대상으로, 문서를 삭제하려면 삭제 토론을 진행해야 합니다. 문서 보기문서 삭제토론 랜섬웨어 (문단 편집) === 치료 === * [[안티 바이러스]](백신 소프트웨어)에서 랜섬웨어가 탐지되어 차단되었다는 메시지를 보인다면 더 이상의 문제는 없으니 안티 바이러스를 통해 시스템 정밀 검사를 실행하고 추후 재발 방지 대책을 세우면 된다. * crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환[* 최근에는 선정적 단어로 확장자가 변환되는 사례가 발견된다. 예: fucked(Manifestus), ifuckedyou(SerbRansom), sexy(PayDay), xxx(TeslaCrypt3.0) 등이 있다. 또한 일부 랜섬웨어는 유명한 파일 확장자를 사칭하기도 한다.]되고, 랜섬웨어 협박문과 함께 타이머가 보이기 시작한다면 바로 아래 대처법을 시행해야 한다. 최근에는 파일 확장자나 이름을 바꾸지 않으면서 암호화하는 경우가 발생된다.[* [[https://www.checkmal.com/video/read/2360|#]] 등 참조.] * [[하드디스크]]/[[SSD]]의 MBR[* '''M'''aster '''B'''oot '''R'''ecord의 약자로, 물리 디스크의 맨 앞에 기록되어 있는 시스템 기동용 영역이다.]/GPT[* '''G'''UID '''P'''artition '''T'''able의 약자로, 물리 디스크에 대한 파티션 테이블 레이아웃 표준이다. 주로 [[UEFI]] 기반 컴퓨터에서 사용된다.]가 변조(암호화)되는 랜섬웨어(페트야/미샤[* 한 파일에 바이러스가 2개 들어 있다. UAC 화면에서 '예'를 누르면 페트야가, '아니오'를 누르면 미샤가 실행된다.], 골든아이[* 상기한 페트야와 미샤를 합친 것이다.], 사타나 등)에 감염되었을 경우 해당 디스크에 설치된 운영 체제로 부팅이 되지 않으므로 [[http://prolite.tistory.com/729|별도의 복구 방법]]을 사용해야 한다. 다음 방법들은 안전 모드가 작동이 가능한 경우에만 해당[* 랜섬웨어 종류에 따라 [[안전 모드]]로 진입이 되지 않는 경우가 있다.]되며, 안전 모드를 복구[* Comodo Cleaning Essentials에 포함된 Comodo KillSwitch의 Quick Repair 도구를 사용하면 복구가 가능할 수도 있다. 자세한 건 [[http://devotionnoath.tistory.com/970|이 문서 일부 참고.]]]할 수 없다면 랜섬웨어에 의해 암호화된 파일을 별도의 저장소에 [[백업]]하고 감염된 PC에 [[Windows]]를 재설치한 후 아래 4번 항목부터 진행해야 한다. 1. 우선 데스크톱의 경우 __전원 플러그를 뽑는 등 컴퓨터를 물리적으로 완전히 종료해야 한다.__[* 이미 감염되어 화면에 문구가 떠있다면 강제종료시 운영체제가 증발할 수 있으니 주의하자.] 노트북이라면 배터리 일체형 제품의 경우 전원 버튼을 꾹 누르거나 배터리 분리형 노트북인 경우 배터리를 분리해 완전히 종료시킨다. 1. 컴퓨터의 전원 버튼을 누른 후 __안전 모드로 진입한다.__ * '''(Windows 7까지)''' 시스템 부팅 전 F8 키를 연타한 뒤, 키보드의 화살표 키로 '안전 모드(네트워킹 사용)'를 선택한 후, 'Enter' 키를 눌러 진입한다. * '''(Windows 8부터)''' 우선 [[https://support.microsoft.com/ko-kr/help/12376/windows-10-start-your-pc-in-safe-mode|이 사이트]]를 참고하여 안전모드(네트워킹 사용)로 부팅한다. 1. 안전 모드로 진입이 완료되었을 경우, 적절한 __[[안티바이러스 소프트웨어|안티 바이러스]] 제품으로 검사하여 랜섬웨어를 제거한다.__ 결제 협박문이 남아 있을 경우, [[Malware Zero]]를 이용하여 제거한 후 __시스템을 다시 시작한다.__ 1. 컴퓨터가 정상 상태로 돌아왔을 경우, 암호화된 파일이 아직 남아 있을 것이다. 따라서 __암호화된 파일이 복호화가 가능하다면 복호화 툴을 이용한다.__ '''[[개과천선|이는 랜섬웨어 제작자가 생각이 바뀌어 복호화 키를 공개하거나]], 사법 당국이나 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당'''된다. 1. 그러나, 4번의 경우도 완벽한 건 아니라서 특정 파일[* 암호화 과정에서 사용자가 시스템을 강제 종료하여 파일이 손상되었거나, 한국에서만 주로 사용하는 [[한컴오피스]] 문서 등이 포함된다.]이 불완전하게 복호화되거나 복호화 툴이 동작하지 않는 불상사가 발생할 수도 있다. 2016년부터 한국의 각종 안티 바이러스(백신 소프트웨어)들도 랜섬웨어에 대응 할 수 있도록 계속해서 업데이트되고 있으며 대표적인 랜섬웨어들의 암호화 행위를 사전에 차단할 수 있게 되었다. 바탕화면이 바뀌였거나 이상한 압축 파일이 생겼는데도 변조, 암호화 된 파일이 없다면 백신에서 사전에 차단한 것이므로 3번 항목의 RIFR 또는 [[Malware Zero]]를 이용하거나 수동으로 협박문을 삭제하고, 랜섬웨어 감염 과정에서 다른 악성코드에도 감염되었는지 안티 바이러스나 [[Malware Zero]]를 이용하여 확인하고, 악성코드가 발견되면 제거한 후 사용하면 된다. 이 대처법은 걸렸다고 해도 암호화가 다 진행되지 않은 경우에 해당하는 대처법이다. 랜섬웨어가 작동하는 동안 자리를 떴다거나 하는 등으로 랜섬웨어가 걸린 지도 모른 채 있다가 전부 암호화가 되면 그때는 더 이상 방법이 없다. 그저 남아있는 악성코드가 있는지 안티 바이러스나 Malware Zero 등을 활용하여 검사, 치료하고, 랜섬웨어가 남긴 협박문을 삭제하고, 필요에 따라 윈도우 재설치, 포맷을 하여 사용하거나, 또는 막 쓰는 컴퓨터라면 그대로 사용하면 된다.저장 버튼을 클릭하면 당신이 기여한 내용을 CC-BY-NC-SA 2.0 KR으로 배포하고,기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다.이 동의는 철회할 수 없습니다.캡챠저장미리보기