클리앙 랜섬웨어 크립토락커 바이러스 제거하는 방법

 IT 커뮤니티 사이트 클리앙의 광고 서버에서 유포 된 랜섬웨어 바이러스는 컴퓨터에 저장되어 있는 파일을 암호화 한 후 비용을 요구하는 한글버전의 CryptoLocker 악성코드로, 윈도우와 인터넷 익스플로러 및 플래시 플레이어의 보안 취약점을 이용하였습니다. 크립토락커에 감염이 되면, 네트워크 서버나 클라우드 서비스에 저장된 데이터와 물리적, 논리적으로 연결된 모든 드라이브에 접근해 데이터를 암호화 하고 클라우드 서비스도 실시간으로 동기화되기 때문에 치료가 어렵고 큰 피해가 발생 하는데, 이번 포스팅에서는 클리앙 랜섬웨어 크립토락커 바이러스 제거하는 방법에 대해 소개해 드리도록 하겠습니다.

* 클리앙 랜섬웨어 악성코드

※ 2015년 04월 21일 클리앙 사이트의 광고배너를 통해 감염된 컴퓨터 내의 운영체제의 시스템 파일을 포함한 네트워크 드라이브의 파일 및 문서와 사진, 동영상 파일에 RSA, AES 키로 암호를 걸고, 암호 해독 키를 대가로 돈을 요구하는 인질형 악성코드인 랜섬웨어가 유포되어 '운영자입니다. 악성코드 유포에 사과드립니다.'라는 제목으로 사과문과 함께 조치하는 방법이 공지사항에 올라왔습니다.

※ 클리앙을 통해 유포된 악성코드는 '크립토락커(Crypto Locker)'로 컴퓨터에 저장되어 있는 'xls, ppt, doc, pdf' 등의 문서 파일과 'jpg' 이미지 파일, 'zip, rar' 등의 압축 및 동영상 파일에 암호를 걸고, 이를 인질로 삼아 돈을 요구하는 악성프로그램의 일종인 랜섬웨어(RansomeWare)로, 감염된 PC에 저장되어 있는 사진과 동영상, 문서 등의 중요 파일이 RSA-2048 암호 알고리즘을 통해 암호화 됩니다.

※ 클리앙에서 크립토락커에 감염이 되어 파일이 암호화 된 경우, 비트코인을 이용해 해독 프로그램을 결제하라는 팝업창이 생성 됩니다. 암호 해독을 조건으로 요구하는 금액은 1.84338 비트코인으로, 원화(KRW)로 약 44만원(438,900원)이며, 2015년 04월 25일 오전 11:51 이후에는 877,800원을 요구하고 있는데, 금액을 지불해도 데이터가 복구될 가능성은 3%로 알려져 있습니다.

☞ 32Bit 윈도우: THREAT CLEAN x86.part1.rar│THREAT CLEAN x86.part2.rar│THREAT CLEAN x86.part3.rar
☞ 64Bit 윈도우: THREAT CLEAN x64.part1.rar│THREAT CLEAN x64.part2.rar│THREAT CLEAN x64.part3.rar

☞ 관련 포스팅: 윈도우 안전모드 진입하는 방법

※ 크립토락커에 감염된 경우에는 먼저 윈도우를 재부팅한 후 바이오스 진입 화면 이후에 F8 눌러서 윈도우 부팅 옵션에서 '안전모드 with 네트워크'로 부팅한 다음, 'Trend Micro Anti-Threat Toolkit'를 실행하여 검사하면 됩니다. 트렌드마이크로 위협 제거 툴은 위의 첨부 파일을 다운로드 받아 분할 압축을 풀고 'THREAT CLEAN.exe'를 실행 하거나, '트렌드마이크로 기술지원 페이지'☜에서 32비트와 64비트 중 사용자의 시스템에 맞는 버전을 다운로드 하여 사용하면 됩니다.

※ Trend Micro Anti-Threat Toolkit은 1.2.62.1016 버전으로 윈도우 안전모드에서 'THREAT CLEAN.exe' 파일을 실행하면, 명령프롬프트(CMD) 창이 활성화 되면서 프로그램이 로딩 되어 실행 됩니다.

※ 트렌드마이크로 위협 제거 툴을 실행한 후 프로그램 우측의 'Scan Now' 버튼을 클릭하면, 온라인뱅킹 정보탈취 악성코드 P2PZeus와 파일 암호화 후 몸값을 요구하는 CryptoLocker에 감염 되었는지 검사를 통해 확인하고 제거할 수 있습니다.

※ Trend Micro Anti-Threat Toolkit의 검사 시간은 컴퓨터 시스템과 사용 환경에 따라 차이가 있으나, 20분 ~ 30분 정도 소요되며, 검사가 완료 된 후 바이러스나 악성코드를 제거한 후 윈도우를 노말 모드로 재부팅 하면 됩니다.

※ 관련 포스팅: 알약 익스플로잇 쉴드 설치 및 사용 방법

※ 파일 암호화 후 몸값을 요구하는 CryptoLocker는 Internet Explorer와 Adobe Flash Player의 보안 취약점을 이용하여 컴퓨터 시스템에 악성코드를 감염 시키는 것으로, 업데이트 지원이 종료되어 보안이 취약한 윈도우 XP나 구버전의 인터넷 익스플로러나 어도비 플래시 플레이어를 사용하는 경우에 최신 버전으로 업데이트가 필요하며, 안티바이러스와 인터넷 시큐리티 등의 백신 프로그램과 함께 악성코드 공격(Exploit) 실시간 차단이 가능한 알약 익스플로잇 쉴드를 사용하면 보다 안전하게 시스템을 유지할 수 있습니다.

☞ 관련 포스팅: 어도비 플래시 플레이어 업데이트 및 설치 방법

 랜섬웨어인 크립토락커 악성코드는 기존에 많이 사용하는 Base64나 AES128 또는 256 보다 복호화 수준이 상당히 높은 RSA-2048키를 사용하여 암호화 하여, 지정된 시간 내에 비트코인 등으로 송금하면 암호를 풀어준다고 하는데, 입금을 한 경우 모두가 데이터를 돌려 받는 것이 아니기 때문에 주의가 필요 합니다. 참고로 파이어아이와 폭스잇에서는 CryptoLocker에 감염된 파일의 암호를 풀어주는 서비스(decryptcryptolocker.com)를 무료로 제공하고 있으며, 이메일주소를 입력하고 감염된 파일을 첨부하면, 입력한 메일로 RSA_2048 키를 받을 수 있습니다. 이상, 클리앙 랜섬웨어 크립토락커 바이러스 제거하는 방법에 대한 간단한 소개 였습니다.