샘플 파일 명 : file_11.exe(Virustotal : 24 / 50)

MD5 : 1f910845fd869b272f15a7390d5c149e


진단 정보


AhnLab-V3 : Trojan/Win32.Vilsel

Kaspersky : Trojan-Ransom.Win32.AutoIt.co

Malwarebytes : Trojan.Agent.AI



해당 파일을 샘플로만 구한지라 자세한 감염경로를 모르나 Email 전파, IE, Adobe Flash Player, Java 취약점을 이용한 악성코드 전파, 그리고 신뢰할 수 없거나 혹은 출처가 불분명한 사이트에서 감염(예를 들어 KeyGen 다운) 등의 여러 경로에서 감염이 이루어지는 것으로 추정이 되는 바입니다.


해당 악성코드를 실행하게 되면 흰 배경에 창이 하나 뜨면서, 시작프로그램에 자신의 프로그램을 등록하고, 레지스트리에 특정한 값을 삽입한 뒤, 윈도우를 강제로 재부팅시켜버립니다.








여기서 Ihr Computer wurde von der GVU gesperrt의 뜻을 설명하자면, 영어로는 Your Computer has been locked by the GVU, 한국어로 말하자면 '당신의 컴퓨터는 GVU에 의해 잠겨져 있습니다.(GVU가 당신의 컴퓨터를 잠궜습니다.)'입니다. 이런 면에서 랜섬웨어(Ransomware)의 '사용자의 PC를 볼모로 하여 금품을 요구하는' 특징이 엿보입니다.^^



>> Ihr Computer wure von der GVU gesperrt 랜섬웨어 치료/삭제 방법



1. 본 랜섬웨어는 안전모드, 안전모드(네트워킹 사용)로 접근시 랜섬웨어가 자동으로 실행이 되어, 접근할 수가 없습니다. 그래서 윈도우 부팅시 F8을 눌러 안전모드(명령프롬프트 사용)에 들어갑니다. 안전모드(명령프롬프트 사용)에서 cmd.exe(명령프롬프트) 창이 하나 뜨면 Explorer.exe를 입력해주시기 바랍니다. 여기서 절대로 cmd.exe(명렴프롬프트) 창을 끄지 마시기 바랍니다.





2. 시작 - 모든 프로그램 - 시작프로그램에서 ja.ink(사용자 PC에 따라 바뀔 수 있으니 주의)를 삭제한 뒤 시스템 구성 유틸리티(msconfig.exe)의 시작프로그램 항목에서 ja를 체크해제합니다.





3. 레지스트리 편집기(경로 : 시작 - 실행 - regedit)에서 아래의 경로 찾아들어간 뒤, 악성코드가 생성한 값들을 지워주시기 바랍니다.


HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\

Shell, Userinit 삭제




4. 대부분 백신에서 진단하는 점을 고려하여 재부팅 후 백신으로 정밀검사/치료를 통하여 잔존하고 있는 랜섬웨어 찌꺼기들을 삭제해주시기 바랍니다.^^ 랜섬웨어 진단은 Malwarebytes Anti-Malware로 해주시면 좋습니다. 다운 링크



Posted by Ec0nomist

댓글을 달아 주세요

  1. 휴..

    관리자의 승인을 기다리고 있는 댓글입니다

    2015.03.22 10:07 [ ADDR : EDIT/ DEL : REPLY ]