랜섬웨어 ravack 복구 리뷰

이번 포스팅은 현재 제가 경험한 랜섬웨어 탈출기를 적어보려 합니다.

실제 상황이에요.. 지금...ㅠㅠ

랜섬웨어 ravack 걸린 이유

노트북을 사용하다가, 문서 폴더를 열어 예전 문서자료를 찾으려 하는데.......

엑셀문서파일이 안보입니다.

기존문서 파일명에 다른 확장자명이 하나 더 붙어 저장되어 있어요..

예를들면... narablog.xlsm.ravack

저 ravack 이라는 확장자가 도대체 뭐길래... 갑자기 문서파일마다 다 붙어 있을까요??

심지어 jpg 사진파일에도 붙어 있었어요..

C: 드라이브의 문서 폴더 외에 제 백업용 D: 드라이브까지 이렇게 되어 있었습니다.

그간 찍어온 사진들 전부 저런 식으로 되어 있어 맨붕이 왔어요..ㅠㅠ

도대체 저 RAVACK이 뭘까요?? 그리고 저렇게 된 건 왜 그런걸까요??

RAVACK은 랜섬웨어 입니다. 랜섬웨어(영어: ransomware)는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류입니다.

랜섬웨어가 컴퓨터에 들어오는 방법은 여러가지가 있겠지만 몇가지를 추려보면 다음과 같습니다.

소프트웨어 응용 프로그램 다운로드(프리웨어)
알 수없는 발신자의 스팸 이메일 수신 열람
무심코 열어본 인터넷 사이트 및 팝업 창
불법 복제 된 P2P 다운로드

그밖에도 더 있겠지만, 큰 맥락에서는 이러한 것들로 랜섬웨어가 걸린다고 합니다.

저의 경우.. 5일전쯤에 무심코 본 유튜브 영상이 있는데, 영상 하단에 있는 프리웨어 다운로드 주소가 있어서.. 클릭하여 다운로드 한것이 원인이었던 것 같습니다.

프로그램 홍보영상인 줄 알고 다운받았는데.. 그게 문제가 된것 같아요..

랜섬웨어 RAVACK과 예방

RAVACK은 2020년 2월 말경에 생긴 신종 랜섬웨어 입니다.

제 PC에서 윈도우10 디펜서를 업데이트한지 일주일 정도 된 상태였기 때문에 신종랜섬웨어를 잡아내지 못했던 것이었어요.

랜섬웨어는 치료가 아닌 복구를 해야 하는데요. 랜섬웨어를 심어놓은 해커(?)에게 비용을 지불하고 푸는 방법도 있고, 많이 알려져서 분석이 끝난 것은 랜섬웨어복구 프로그램으로 가능하다고 합니다. 하지만 복구가 가능하기 까지는 오랜시간이 지나야 하니 중요하거나 급한 문서들의 경우는 어쩔수 없이 비용을 지불하고 풀거나 포기를 해야 합니다.

그래서 랜섬웨어는 예방이 더 중요하다 하는가 봅니다.

현재 윈도우7은 마이크로소프트사에서 보안관련 지원을 종료 한 상태 입니다. 곧 윈도우8도 종료를 하겠지요..

저는 윈도우 10임에도 이렇게 랜섬웨어공격을 받아 피해를 받았지만.. 윈도우10 디팬서를 자주자주 업데이트 하는 습관이 필요합니다.

물론 자동업데이트를 해두면 되겠지만... 안될때도 있더라고요.. 지금 제 경우가 그러합니다.

그밖에 안티 바이러스 및 멜웨어 프로그램 사용 하는것도 방법입니다.

추천 안티 바이러스 및 멜웨어 프로그램

이기회에 몇가지 무료 프로그램을 추천 드려 봅니다.

1. v3

V3는 대중들에게 익히 알려진 안티바이러스 프로그램입니다. 예전에는 안철수바이러스연구소에서 안철수 연구소로.. 그리고 지금은 안랩으로 사명을 바꿔 운영을 하고 있죠.

은행이나 관공서 사이트 로그인할때면 꼭 이 v3가 깔리거나 실행이 됩니다.. 그만큼 인지도와 안정성이 있다는 것 아닐까요??

안랩 V3 : https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8

2. Malware Zero (구 MZK)

네이버카페 바이러스제로 시즌2 의 MZK 가 생소 하실지 모르겠지만, 입소문을 많이 타면서 카페 회원수가 약 22만명이나 될정도로 악성코드 잡는데 정평이 나 있습니다.

현재는 MZK에서 Malware Zero로 이름을 바꾸긴 했지만, 그 성능은 여전합니다.

참고로 Malware Zero는 다른 안티 바이러스나 안티악성코드 프로그램과 달리 수시로 직접 다운로드 하여 관리자실행으로 검사를 해야 합니다. 실시간 감시 기능은 없지만, 컴퓨터를 잠깐 켜두고 실행해 두면 강력한 툴이 구석구석 잡아내어 믿을 수가 있어요..

Malware Zero 네이버카페 : https://cafe.naver.com/malzero

Malware Zero 공식사이트 :https://malzero.xyz

3. Windows Defender 보안 센터

윈도우10에 내장되어 있는 윈도우 보안센터의 경우 상용 프로그램들의 기준점이 되기도 합니다. 이것보다 나아야 상용프로그램이다 라고 할수 있다 할정도로..기준이 됩니다. 그렇다고 성능이 떨어지지 않습니다. 왠만한건 다 잡아내고 검사도 한번이 아닌 여러번 자체검사를 통해 알림으로 알려줍니다. 무엇보다 좋은건 윈도우 내장 백신이기 때문에 여타 프로그램들과 호환이 잘되고 실시간 감시를 통해 안심할 수 있습니다.

단점은 수동검사의 경우 조금 느린감이 있고, 윈도우 업데이트를 통해 보안업데이트를 주기적으로 확인해야 한다는 점이에요.

상용 백신을 사용하는경우에는 바이러스백신기능이 상용프로그램으로 우선권을 넘기고 작동하지 않는데요. 이는 프로그램 충돌을 막기 위해서라고 하네요.

4. AppCheck

바이러스제로 시즌2 카페에 제가 걸린 랜섬웨어 문의 글을 남겼었는데, 즉각 적용된 안티랜섬웨어 입니다. 현재 ravack 에 대한 랜섬웨어를 잡아내고 있으며, ravack에 대한 분석 자료도 체크멀 블로그를 통해 안내해주고 있습니다. 보조 안티랜섬웨어로 성능이 우수하며 즉각적인 반응을 하는 장점이 있으나, 간혹 윈도우업데이트등을 오진하는 경우가 있다고 해요. 하지만 이부분도 실 사용에서 크게 나타나지 않고 있어서 예전이야기가 되고 있는 것 같습니다.

무료버전과 유료버전이 있는데, 무료버전으로 개인 및 가정에서 사용이 가능합니다. (추가: 사용해보니 가볍고 좋네요..^^)

홈페이지 주소 : https://www.checkmal.com/product/appcheck/

ravack 랜섬웨어 관련 체크멀 블로그 주소 : h ttps://m.blog.naver.com/checkmal/221836762127

저는 그간 윈도우 디팬더 보안센터 만 켜두고 컴퓨터를 사용해 왔었습니다. 간혹 바이러스 침투가 있어도 바로바로 잡아내어 그 성능도 믿을 수 있었습니다.

하지만, 이번에 보안업데이트가 일주일가량 안된 사이의 신종랜섬웨어가 나타나 제 컴에서 잡아주지 못한것은 아쉽긴 해요.

새로 V3를 설치하고 검사하니 잡아 내더라구요.

윈도우디팬더 보안센터 업데이트 후 다시 하니.. 역시 위와 같은 악성코드가 잡혔습니다.

그리고 Malware Zero 카페에는 이 랜섬웨어에 대해 문의를 해보았습니다.

바이러스 시즌제로2 카페에서는 아래와 같이 분석을 해주셨습니다.

추가 분석을 해보니 dwm.exe (파일 암호화 / 랜섬웨어) 기능을 수행하고, dllhost.exe (정보 수집) 기능을 합니다.

dllhost.exe 파일은 다음과 같은 동작이 있습니다.

content-disposition: form-data; name="file"; filename="data.zip"

Content-Type: application/octet-stream

data.zip 압축 파일을 만들어서 외부로 전송합니다. 내용에는 감염된 시스템 정보 등이 포함된 것 같습니다.

수집된 정보는 화면 스크린 샷, 시스템 정보, 히스토리 기록 등인 것으로 보입니다.

그렇다면 저는 지금 무엇을 해야 할까요??

우선 저 파일들은 V3와 윈도우 디팬더가 잡아 삭제가 된 상태이지만... 그냥 안심하고 사용해도 될까요??

신종랜섬웨어이고..제 PC에서 수집된 기록을 외부로 전송한상태라고 하니....ㅠㅠ

PC 포멧이 가장 최선이자 안전한 방법일 것 같습니다. 그래서 포멧을 진행하였어요.