|
:: 게시판
:: 이전 게시판
|
- PGR21 관련된 질문 및 건의는 [건의 게시판]을 이용바랍니다.
- (2013년 3월 이전) 오래된 질문글은 [이전 질문 게시판]에 있습니다. 통합 규정을 준수해 주십시오. (2015.12.25.)
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
18/10/31 19:07
* 랜섬웨어는 제가 명확히 알지 못하며, 그래서 아래의 방법들은 유효하지 않을 수 있습니다.
데이터 복원이 아닌 지금 시점의 데이터 보존이 목적이시면, 1. 다른 기기에서 LiveUSB로 부팅이 가능한 리눅스 배포판, 곧 우분투 같은 배포판을 적당한 가격의 usb에 담기 2. 해당 usb로 부팅을 하셔서 dd 같은 툴로 파티션을 다른 곳에 저장 위의 방법이 가능할 것 같습니다. 이 경우, 포맷을 하시더라도 추후 복원이 크게 용이할 것입니다. 또한, 리눅스에서도 ntfs 파일 시스템의 파티션의 내용을 읽을 수 있으므로, 리눅스에서 해당 디스크 내용을 읽고, 그 중에서 감염되지 않은 내용들을 선별적으로 옮기는 것도 가능합니다. 아마도, 대부분의 랜섬웨어의 동작에는 어떠한 바이너리 파일의 실행이 전제될텐데, 그 실행 자체는 '대부분' 다른 usb에서 커널이 다른 os로 부팅되는 시점에 차단될 것으로 생각됩니다. 단, 대부분이지 항상이 아닙니다.
18/10/31 19:14
감사합니다. "대부분 다른 USB 에서 커널이 다른 OS로 부팅되는 시점에 차단될것으로 생각됩니다"
이부분은 향후 다른 OS로는 대부분은 옮겨 가지 않을것이라 생각된다는 말씀이신가요?
18/10/31 19:22
(수정됨) 랜섬웨어의 동작(파일의 변조나 의도치 않은 실행의 지칭을 의도했습니다)에 전제되는 바이너리 파일의 실행이,
다른 usb에서 커널이 다른 os로 부팅된다면 차단될 것이라 예상되어 쓴 부분입니다. 정리하면 아래와 같을 것입니다. 1. LiveUSB에 담긴 리눅스 배포판으로 부팅 - 대부분의 경우 파일의 변조 및 의도치 않은 실행이 일어나지 않음 - 해당 os가 감염되지 않는다, 옮겨가지 않는다고도 할 수 있음 2. 감염된 윈도우즈로 부팅 - 파일의 변조 및 의도치 않은 실행이 일어남 - LiveUSB의 내용이 그 변조의 대상이 될 수 있음 그런데 찾아보니 바이오스 진입 자체가 안되는 경우들도 있다고 하는데, 이 경우는 위의 방식이 적용되지 않거나, 문제를 심화시킬 수 있을 것 같으니, 랜섬웨어의 메시지나 확장자 특성을 기억하고 계신다면, 어떤 랜섬웨어인지 얼추 짐작하고 시도하셔야 할 것 같습니다.
18/10/31 22:30
제 경험상 그냥 고스트툴로 복구했더니 C는 당연 포맷이고 D는 더이상 진행되지 않았습니다.
랜섬웨어 자체가 자료 파일을 암호화시키는거라 이미 암호화된 파일이 있다고 그 파일로부터 감염이 확산되지는 않을거에요. 저도 확장자 바뀐 것들만 그냥 삭제하다가 8개월 정도 지난 지금도 좀 남아 있는 파일이 있는데 문제가 되지는 않네요.
18/10/31 22:50
저도 이번에 걸려서 찾아보면서 배운건데 랜섬웨어라는것이 파일을 암호화 시키는 바이너리 파일을 제 하드에 숨겨두고 부팅시 자동으로 실핼 되게 끔해서 부팅할수록 암호화되는 파일이 늘어나는 식으로 확산 되는걸로 알고있습니다. 실제로 오전에는 안보이던 README.TXT 과 몇몇파일들이 바탕화면에 겨났네요....넘나 무서운것
18/11/01 00:43
결국 암호화를 시키기 위한 실행 파일이 숨겨져 있어야 하는데 외장 저장 장치에는 아직까지는 복사하지 않고 본래 감염된 기기에만 숨어 있다고 보시면 됩니다. 외장 저장 장치에서 몰래 실행시켜려면 실행 여부 사용자에게 물어봐야 해서 몰래가 안 됩니다.
|
||||||||||