파일 이름 : mslock.exe(Virustotal : 35 / 49)

MD5 : 14f783649723e70cd6d8be17fdec8981


mslock.exe 악성코드 진단 정보


BitDefender : Trojan.MSIL.Agent.FM

Kaspersky : Trojan-Ransom.MSIL.MSLock.f

nProtect : Trojan.MSIL.Agent.FM

Malwarebytes : Trojan.Ransom.LockScreen



본 포스트에서 언급할 랜섬웨어(Ransom)의 경우 샘플만 입수한지라 감염경로는 정확히 불분명하며, 대체로 불분명하고 신뢰가 없어보이는 사이트, 취약점을 이용한 악성코드 공격, E-Mail에 전송된 악성코드 등의 경로가 주를 이룹니다. 이번에 발견된 랜섬웨어의 경우 윈도우 정품 인증과 관련된 설문조사를 빙자하여 사용자PC를 잠궈버린 뒤 금품을 요구하고 있으며 파일 실행시 시작 프로그램에 등록하여 재부팅을 해도 해당 랜섬웨어 프로그램이 실행되면서 PC 사용에 지장을 줍니다.







We have detected that this copy of windows is not genuine

For this reason, your computer has been temporary locked.


Your Computer will stay locked until you complete a quick survey in order to get a microsoft windows product key.


요약하자면 현재 쓰고 있는 윈도우를 진짜가 아니라고 판명이 되어 잠궜으며, 설문조사가 끝나야 쓸 수 있다고 합니다.  쉽게 말해서 개소리죠.




>> We have detected that this copy of windows it not genuine 랜섬웨어 치료/삭제 방법



1. 해당 창이 뜨게 되면 컴퓨터를 재부팅시키고, F8번을 눌러 안전모드로 들어가주시기 바랍니다.





2. 레지스트리 편집기에 들어가고 아래의 경로에 있는 값을 삭제해주시기 바랍니다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  // mshost 삭제





4. 재부팅 후 현재 쓰고 있는 백신으로 정밀검사/치료를 해주시기 바랍니다.^^




** 이전의 2,3번이 겹치기에 2번을 지웠습니다.   2014-03-27 오후 12시 13분

Posted by Ec0nomist

댓글을 달아 주세요