파일 암호화 랜섬웨어(Ransomware) 자주 묻는 질문 

Q. 랜섬웨어에 감염되었습니다. 가장 먼저 조치해야 할 것이 무엇인지요?
A. 감염 사실을 인지하셨으면 곧바로 컴퓨터 종료 또는 재부팅 후 안전 모드(네트워킹 사용) 환경으로 부팅하여 악성코드 본체 제거 후 암호화가 진행되지 않은 중요한 데이터가 있다면 백업 후 악성코드에 감염되기 전의 복원 시점이 있다면 복원 또는 표준 환경으로 부팅해주시기 바랍니다. 또한, 감염된 컴퓨터에 네트워크로 공유 된 폴더 및 동기화 된 클라우드 폴더 또한 내부 데이터가 암호화 될 수 있으므로 신속하게 연결을 해제해주세요. (악성코드 본체 제거 후 재부팅 하시면 더이상 암호화가 진행되지 않습니다.)

Q. 랜섬웨어는 어떻게 제거해야 하나요?
A. 현재 사용하시는 보안 제품(백신)이 감염된 악성코드를 제거하지 못하고 있는 상황일 경우, 파일 암호화 랜섬웨어 종합 정보 게시물을 참고해주세요. 중요한 파일이 없는 경우에는 포맷 후 운영체제를 재설치하는 것을 권장합니다. (조치 후 남아있는 안내 파일을 제거하실 때에는 랜섬웨어 안내 파일 제거 스크립트를 사용하여 제거) 

Q. 랜섬웨어가 암호화 한 파일을 다른 곳에 옮기면 악성코드가 함께 감염이 되나요?
A. 대부분 정상 파일이 암호화 된 파일은 말 그대로 암호화만 진행된 것이며 전혀 악성 행위를 하지 않습니다. 랜섬웨어 본체가 삭제되어 안전해진 상태에서는 암호화 된 파일이나 암호화가 진행되지 않은 정상 파일이나 다른 곳에 옮기셔도 문제가 발생하지 않습니다. (단, 암호화 파일 자체가 악성 파일로 변조되는 일부 형식이 존재하며, 파일 실행 시 악성 행위 실행) 

Q. 랜섬웨어에 감염되면 함께 사용하고 있는 다른 컴퓨터나 휴대 기기 등에 악성코드가 전파되나요?
A. 일부 랜섬웨어의 경우 본체를 복제하는 유형도 소수 있으나 대부분은 자체 복제(전파) 기능이 없습니다. 

Q. 랜섬웨어에 의해 암호화 된 파일은 복호화가 가능한가요?
A. 일부 랜섬웨어는 복호화 도구가 존재하여 복호화가 가능하지만 현재 주로 감염되고 있는 Cerber, CryptoWall, Locky, Sage 등의 경우는 악성 행위자에게 비트 코인을 송금하여 복호화 하는 방법 뿐이 없습니다. 피해를 입지 않으시려면 별도 저장 장치로의 백업이 최선입니다. (송금을 포기하신 상태에서는 직접 설정하신 복원 지점이 존재할 경우 복원을 시도해보시거나 삭제된 또는 흔적이 남은 파일에 대한 복구를 파일 복원 프로그램을 통해 복원하는 작업(또는 복원 전문 업체에 의뢰)을 진행해보실 수는 있습니다. 또는 파일 한 개를 무료로 복호화 받을 수 있습니다. [이곳] 참고)

Q. 악성 행위자에게 비트 코인을 송금하여 복호화 프로그램을 받아 진행하면 파일이 모두 복호화 되나요?

A. 이는 변수가 존재해서 확실하게 답해드릴 수는 없으나 일단, 복호화 성공률은 평균 70% 복구율은 90% 이상 됩니다. 복호화를 진행할 때에는 암호화 된 저장 장치를 모두 연결 후 진행해야 하지만, 이 부분에 대해서는 악성 행위자에게 금전을 보낸 것으로 인하여 새로운 랜섬웨어 제작 및 제 3의 피해자가 양성될 수 있다는 것과 금전을 잃을 각오를 확인한 후 진행하시기 바라며, 송금 받은 후 먹튀하거나 복호화가 불완전하게 진행되는 경우도 있으니 신중 및 주의하시기 바랍니다. (한꺼번에 랜섬웨어가 다중 감염되었다면 이는 답이 없습니다.) 

Q. 혹시 전문 복구 업체 또는 전문가의 경우 복호화가 가능하지 않을까요?
A. 아니요. 이미 암호화 된 파일은 아무리 전문 업체 또는 전문가라도 복호화 키가 없으면 절대 복호화 불가합니다. (일부 취약점이 존재하는 랜섬웨어 제외) 업체에서 광고하는 랜섬웨어 파일 복원 서비스는 복원 영역에 존재하거나 삭제된 또는 흔적이 남은 파일에 대한 복구 또는 대리하여 악성 행위자에게 비트 코인을 송금해서 복호화 프로그램을 받아 복호화를 진행하는 방식입니다. 후자의 경우는 기본 비트 코인 값에 더한 적지 않은 대리비를 받으므로 참고하시기 바랍니다. (간혹 특정 업체는 랜섬웨어 복호화 기술을 보유했다고 광고하는 업체가 존재하는데 터무니 없는 소리입니다.) 

Q. 클라우드 서비스에 백업한 파일도 암호화 되었습니다. 어떻게 조치해야 하나요?
A. 먼저 감염된 PC와 클라우드 서버와의 동기화를 해제하신 후, 클라우드 서비스에서 자체 제공되는 <이전 버전(Version History)> 기능을 사용하여 암호화 되기 전 시점의 파일로 복원해주시기 바랍니다. (추가로 클라우드 서비스의 휴지통 확인 권장) 

Q. 랜섬웨어 치료 및 제거 후 포맷 또는 운영체제 재설치를 하지 않고 사용해도 되나요?

A. 사용하셔도 됩니다. 하지만 운영체제가 사용하는 기본 이미지, 문서, 음악 파일 등이 손상(암호화)되었을 수 있으므로 개인적으로는 운영체제 재설치를 권장드리고 있습니다. 계속 사용할 것인지 아닌지는 사용자의 선택입니다.

Q. 랜섬웨어 감염을 예방하려면 어떻게 해야하나요?

A. 일단, 완벽한 예방법은 없지만 감염 확률을 최소화 하려면 운영체제 및 모든 프로그램(Java, Flash Player 등은 필수)을 최신으로 유지하시고 보안 제품(백신) 사용(실시간 감시 기능 활성화는 기본) 및 출처를 알 수 없는 파일은 내려받아 실행하지 마시고 수상한 또는 변조가 확인된 사이트는 방문하지 마시길 바랍니다. (사용하시는 보안 제품(백신)이 랜섬웨어 방어 기능이 존재하지 않는 제품이라면 보조로 특화형 안티랜섬웨어 제품을 사용해주시기 바랍니다.)

Q. 랜섬웨어에 한 번 감염되면 제거해도 계속 감염 시도가 이루어진다는데 사실인가요?

A. 전혀 근거 없는 이야기입니다. 랜섬웨어에 감염될 만한 행위를 하지 않고 바로 위 사항을 철저히 지키신다면 감염되기 어렵습니다.

Q. 랜섬웨어 감염 시 메인보드, 램 등 하드웨어에 좋지 않은 영향을 준다고 하는데 사실인가요?

A. 역시 전혀 근거 없는 이야기이며, 특정 업체에서 랜섬웨어 때문에 램 등이 고장나 교체를 요구한다고 하는데 이는 명백한 사기입니다.