저희 고객센터로 전화가 많이오네요.
크립토락커로 인해 문서나 이미지 파일이 변조(암호화)되셨다면 암호화된 파일은 복원이 불가능합니다.
간혹 확장자를 .ecc 파일로 만드는 TeslaDecrypt 같은경우 key.dat 파일이 남아 있다면 복원가능하다고는 합니다(이놈은 AES암호화라...)만 지금 많이 퍼지고 있는건, 네이버 지식인이나 문의오시는 분들을 보면 대부분 복원이 불가능한 크립토락커입니다.
크립토락커가 파일을 암호화했다는 메세지가 뜨면 C:\Windows 폴더 또는 C:\ProgramData 아래 랜덤문자열로된 파일중 파일명의 길이가 8자리(꼭 8자리는 아님)이고 .exe인 파일을 찾아서 삭제하면됩니다. 아이콘이 아래와 같은 이미지로 되어 있는것이 많아 금방 찾을 수 있습니다.
위와 같이 딱 눈에 띄는 아이콘으로 되어 있고... 저런게 있으면 작업관리자->프로세스에서 프로세스가 실행중이면 죽이고 파일을 삭제하세요.
그리고 시작->실행->regedit 로 레지스트리 편집기를 실행시키고
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 로가면 데이터가 위 파일경로인 시작프로그램이 있을겁니다. 그 값도 지우시구요. (또는 그라토에서 PC최적화->시작프로그램관리 에서)
또는 작업관리자 실행 -> 응용프로그램 탭에서 CryptoLocker 가 있으면 선택후 우클릭->"프로세스로 이동"누르면 exploere.exe 프로세스 두개중 하나가 선택됩니다. 선탯된거만 죽이고(del키), rundll32.exe 프로세스가 떠있으면 같이 죽이세요. 그럼 크립토락커 팝업창이 닫힙니다.
그리고 시작->실행->msconfig "시작프로그램"에서 C:\windows\????????.exe / C:\programData\????????.exe 가 등록되어 있으면 체크해제 후 "적용". 해제한 C:\windows\????????.exe / C:\programData\????????.exe 경로를 탐색기로 찾아가셔서 파일을 삭제하면됩니다.
* 물론 C:\windows 또는 C:\programdata에 있는 ????????.exe 파일이 직접실행되는 경우도 있지만 대부분 explorer.exe나 rundll32.exe에 붙어서 실행되기 때문에 ????????.exe 파일이 직접보이지 않고 msconfig->시작프로그램이나 레지스트리 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 키 아래 시작프로그램 값의 데이터를 보면 찾기 쉽습니다.
* 중요한 파일은 미리미리 외장하드나 USB같은 곳으로 백업해두세요.(크립토락커가 실행중일때 외장하드건 USB건 컴퓨터에 꽂혀있으면 암호화되니깐 따로 두시구요...)
|
|