본 영상은 컴퓨터 사용의 중요한 파일을 암호화하고, 하드디스크 드라이브, 폴더, 파일의 권한 속성을 삭제하는 소디노키비 랜섬웨어 V2 작업과정을 살펴보고, 리부트 리스토어 알엑스로 복원하는 모습을 보여준다.

리부트 리스토어 알엑스는 모든 윈도우즈 사용자가 반드시 설치하여 이용할 프로그램이다.

프로그램 및 동영상 안내

• 리부트 리스토어 알엑스 프로그램 안내

※ 리부트 리스토어 알엑스는 GPT 파티션은 지원하지 않고, MBR 파티션만을 지원한다.

본 영상은 [소디노키비(sodinokibi) 랜섬웨어 대응방법 4]번을 좀 더 개선한 방법입니다.

※ 본 영상은 [암호화된 파일]을 복구하는 방법을 안내하는 것이 아닙니다.

■ 네봄이 소디노키비(sodinokibi) 랜섬웨어 대응방법

네봄이 소디노키비 랜섬웨어는 다른 랜섬웨어와 마찬가지로 ***포맷할 필요없습니다***. 단지 다른 랜섬웨어와 달리 드라이브, 파일과 폴더에 대한 권한을 삭제하기 때문에 이 문제를 해결하기만 하면 됩니다. 본 영상 시청후에는 [랜섬웨어 대응방법 3] 영상을 시청하시면 되며, 아래 링크를 이용하세요.

[랜섬웨어 대응방법 3]에는 [시스템복원지점 만들기/볼륨새도우카피/엠비알필터 설치] 등의 작업이 나오는데, [리부트 리스토어 알엑스]를 설치하여 이용하시면, 이러한 작업을 하지않아도 됩니다. [리부트 리스토어 알엑스]만으로 이 모든 작업을 모두 처리할 수 있습니다.

■ 레지스트리 파일 내려받기

• 마우스 오른쪽 버튼이 작동하지 않는 경우
• 서비스 관리자/그룹정책관리자 등이 실행되지 않는 경우
• 바탕화면을 윈도우즈 10 기본 바탕화면으로 변경하기

위와 같은 문제가 있는 경우, 아래 링크에서 [레지스트리파일.zip]파일을 내려받습니다.

• 레지스트리파일.zip

내려받은 파일을 압축해제한 후, 사용자의 필요에 따라 각각을 마우스 2회 누르거나 all.reg파일 실행합니다.

• all.reg : 위의 3가지 문제를 합쳐놓은 것으로, 아래 reg 파일은 적용하지 않아도 됩니다.
• mouse-rightclick.reg : 마우스 오른쪽 버튼 문제
• crypt.reg : 서비스 관리자/그룹정책관리자 등이 실행되지 않는 문제
• wallpaper.reg : 윈도우즈 10 기본 바탕화면으로 변경하기

위 파일을 적용한 후에는 컴퓨터를 재시작하시면 됩니다.

바탕화면을 변경할 경우, 프로그램 아돌릭스 월페이퍼 체인저(Adolix Wallpaper Changer)를 이용하셔도 됩니다.

• 아돌릭스 월페이퍼 체인저((Adolix Wallpaper Changer)

※ 랜섬웨어 대응 관련 정보는 [랜섬웨어 대응 목록]에서 보세요. 관련 영상을 함께 볼수 있습니다.

• 랜섬웨어 대응 관련 정보로 이동하기

매그니베르 랜섬웨어는 윈도우즈 7을 사용하면서 인터넷 익스플로러를 사용하는 경우, 보안패치가 안된 윈도우즈 10에서 인터넷 익스플로러를 사용하는 경우 ***특정사이트 접속만***으로도 사용자의 중요한 파일이 암호화됩니다. 따라서 기본적으로 [인터넷 익스플로러]는 사용하지 말아야 합니다.

본 영상에서는 류크 랜섬웨어 테스트 영상이 나오며, 이것은 랜섬웨어 차단프로그램인 앱체크 테스트를 위한 사전 테스트 영상이기도 합니다.

■ 프로그램 안내

아래 파일을 본 영상에 소개된 프로그램으로, [볼륨새도우카피 중지]를 위한 프로그램과 시작프로그램 악성검사를 해볼 수 있는 [오토런(Autorun)], 그리고 윈도우즈의 부팅 영역을 보호하는 엘비알필터(MbrFilter)가 포함되어 있습니다.

• antiransomware 64비트

• antiransomware 32비트

※ 32비트/64비트는 여러분의 브라우저의 상단 좌측 설정 아이콘 - 도움말 - 프로그램 정보 등에서 확인할 수 있습니다.

※ 랜섬웨어 관련 영상은 아래 링크를 이용하시면, 더많은 정보를 얻을 수 있습니다.

• 랜섬웨어 관련 영상

■ 인터넷 익스플로러

모든 컴퓨터 사용자는 인터넷 익스플로러를 사용하지 말아야 합니다.

파이어폭스/구글크롬/엣지 브라우저를 이용하세요.

윈도우즈 10도 마찬가지이지만, ***특히 윈도우즈 7 사용자***는 코모도 인터넷 시큐리티를 이용하세요. 윈도우즈 7은 더이상 마이크로소프트사의 보안패치에 대한 기술지원을 받지 못합니다.

• 코모도 인터넷 시큐리티

모든 브라우저는 가상화시켜 이용하세요. 이것은 윈도우즈 10 사용자도 마찬가지입니다.

■ 파이어폭스 브라우저를 이용하세요

특히 사기/변조된 사이트를 조심하셔야 합니다. 많이 사람들이 알고있는 사이트의 도메인주소를 입력할 때, 오타를 치게되어 이동하게 되는 사이트 경우가 그렇습니다. 매그니베르 랜섬웨어는 이런 점을 노립니다.

이를 방지하기 위해 즐겨찾기(북마크)를 하시고, 단축키를 설정하세요. 아래 링크의 동영상을 참고하세요.

• 브라우저 즐겨찾기(북마크)와 단축키 설정

구글 크롬이나 엣지 등의 브라우저는 즐겨찾기(북마크)의 단축키 설정이 불편합니다. 반면 파이어폭스를 손쉽게 즐겨찾기(북마크)의 단축키 설정를 할 수 있습니다.

■ 네봄이 소디노키비(sodinokibi) 랜섬웨어 대응방법

네봄이 소디노키비 랜섬웨어는 다른 랜섬웨어와 마찬가지로 ***포맷할 필요없습니다***. 단지 다른 랜섬웨어와 달리 드라이브, 파일과 폴더에 대한 권한을 삭제하기 때문에 이 문제를 해결하기만 하면 됩니다.

본 영상이 작다면, 아래 그림에서처럼 영상 하단에 나오는 전체화면 아이콘을 누르거나

아래 링크를 누르면 유투브 사이트로 이동하여 시청할 수 있습니다.

• 네봄이 소디노키비(sodinokibi) 랜섬웨어 대응방법

먼저 안전모드로 부팅하여 작업하세요.

안전모드 부팅은 아래 동영상을 참고하세요. [안전모드] 항목에서 [네트워크]를 선택합니다.

• msconfig를 이용한 안전모드 부팅

그러면 인터넷에 연결하여 필요한 파일과 프로그램을 내려받을 수 있습니다.

ㅇ 마우스 오른쪽 버튼이 작동하지 않는 경우

메모장을 열어서 아래 내용을 복사하여 [바탕화면.reg]로 저장하여 마우스 2회 클릭하고, 로그아웃하거나 작업관리자를 실행하여 [windows 탐색기]를 찾아 오른쪽 하단에 있는 [다시 시작]을 누릅니다.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoViewContextMenu"=dword:00000000

• 메모장은 [win+r] 단축키를 눌러 [notepad] 입력하고 엔터키를 누릅니다.
• 작업관리자는 [win+r] 단축키를 눌러 [taskmgr] 입력하고 엔터키를 누릅니다.

1. 탐색기를 열어서 각각의 C/D/E 등의 드라이브에 [system, administrators, authenticated users, users, 로그인ID]을 추가합니다.
   - system, administrators, authenticated users, 로그인ID에 모든 권한을 줍니다.
2. cmd를 관리자 권한으로 실행하여 아래 내용을 복사하여 cmd 창에 [ctrl+v]를 눌러 붙여넣기합니다.

icacls "C:\Users" /reset /t /c /l
icacls "C:\$WinREAgent" /reset /t /c /l
icacls "C:\$Recycle.Bin" /reset /t /c /l
icacls "C:\Config.Msi" /reset /t /c /l
icacls "C:\Documents and Settings" /reset /t /c /l
icacls "C:\PerfLogs" /reset /t /c /l
icacls "C:\Program Files" /reset /t /c /l
icacls "C:\Program Files (x86)" /reset /t /c /l
icacls "C:\ProgramData" /reset /t /c /l
icacls "C:\Recovery" /reset /t /c /l

3. 다른 드라이브가 있는 경우

cmd 창에서 다른 드라이브로 이동하여 [드라이브명:]엔터합니다.

• c:\e: [엔터]
• - e:\

그리고 아래 내용을 복사하여 붙여넣기 합니다.

dir >list.txt /b/ad-s

노트패드++를 내려받습니다.

• 노트패드++ 내려받기 페이지

영상에 나오는대로 수정하고, 변경한 내용을 복사하여 cmd 창에서 실행합니다.

또는 메모장으로 열어서 아래와 같은 형식으로 변경하여 실행합니다.

4. 에브리씽을 다운받아, 1개의 랜섬노트와 필요한 암호화된 파일을 보관합니다. 그리고 보관후에는 모두 삭제합니다.

• 에브리씽 내려받기 페이지

5. 안전모드에서 나오기

기본작업이 끝났으면, msconfig를 실행하여 [부팅]탭에서 [안전모드]에서 빠져 나옵니다.

6. 나머지 작업

위의 작업은 소디노키비 랜섬웨어에 의해 삭제된 파일/폴더 권한을 재설정하는 작업입니다. 따라서 아래 링크의 동영상을 참고하여 나머지 작업을 하여 마무리 하세요.

• 랜섬웨어 대응방법 3

7. 설치된 프로그램이 작동하지 않는 경우

랜섬웨어는 프로그램 작동에 필요한 파일 중 일부(*.ini/*.inf/*.xml/*.zip)를 암호화합니다. 작동이 안되는 경우에는 프로그램을 재설치하는데, 설치된 폴더를 삭제 또는 일단 설치 폴더 이름을 바꾸고 설치하세요.

이와 같은 방법으로 해결되지않는다면, 아래 링크의 레지스트리 클리너를 이용하여, 불필요한 레지스트리를 정리한 후에 설치를 해보세요.

• 와이즈 레지스트리 클리너

8. 권고사항

▶ 윈도우즈 디펜더를 보조백신으로 - 코모도 인터넷 시큐리티를 사용하자

▶ 윈도우즈 랜섬웨어 보호기능은 c:\windows 폴더로 사용자 폴더로 옮기자

• 사용자 폴더 옮기기

▶ 중요한 파일은 확장자를 exe로 바꾸거나, 추가하자

▶ 시스템백업을 사용하지 말고 [아오메이백업퍼/리도리스큐]를 이용한다.

• 아오메이백업퍼(개인)
• 리도리스큐(개인/기업)