'Gpcode.ak'에 해당되는 글 1건

  1. 2008.06.19 Gpcode.ak 암호화 바이러스로부터 파일 복구하는 방법 소개

최근 컴퓨터의 파일을 암호화하여 금품을 요구하는 바이러스인 블랙 메일러에 대해 소개해 드린 적이 있습니다.

참고자료: http://moonslab.com/644

안티바이러스 벤더인 카스퍼스키 랩은 이 바이러스를 Gpcode.ak라고 명명하고 있으며, 감염시 파일을 암호화하여 피해를 입는 경우 이를 해결하기 위한 방안의 일환으로 암호 방식을 깨기 위해 노력하고 있습니다.

이러한 노력 이외에 감염되는 행동 방식을 분석한 결과 다음과 같이 암호화하기 이전의 파일을 복구할 수 있는 방안을 소개하고 있습니다.

Gpcode.ak 바이러스는 원본 파일을 강력한 1024비트로 암호화하고 나서 원래의 파일을 삭제합니다. 하지만, 새로운 암호화 파일을 생성할 때에 원래의 파일의 사본을 이용하여 만들기 때문에 원본을 복구할 수 있는 가능성이 높습니다.

컴퓨터를 잘 아는 분들은 파일을 삭제하더라도 실제 파일의 내용을 삭제하는 것이 아니라 FAT과 같은 파일의 저장 위치를 기록하는 데이터베이스에서만 삭제된다는 사실을 잘 아실 것입니다.

삭제한 파일을 복구하는 프로그램은 다양하지만, 카스퍼스키 랩에서 추천하는 프로그램은 PhotoRec 입니다. 이 프로그램은 무료로 제공되는 프로그램으로, 사용자가 원하는 경우 개발자에게 일정한 금액을 보상할 수 있는 방식입니다.

또한, ERD CommanderFinal Data Enterprise와 같은 전문적인 파일 복구 프로그램을 이용하는 것도 고려할 만 합니다.

하지만, 컴퓨터를 재부팅하거나 너무나 많은 파일이 암호화하여 변조되거나, 변조된 시점이 너무 오래된 경우는 복구하더라도 정상적으로 복구되지 않을 가능성이 있다는 점을 주목해야 합니다.

카스퍼스키 자료: http://kasperskylab.co.kr/board/bbs/board.php?bo_table=News&wr_id=192&page=&nca=

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory