안녕하세요.
최근들어 랜섬웨어 관련 이슈들이 많이 보이는데,
이런 이슈가 있을때마다 항상 궁금한게..
현재의 기술로 빠른포맷 후 랜덤웨어가 램에 로딩되는 경우가 가능 한가....? 입니다....
포맷을 한다는것은.. 클린한 설치파일을 기준이고..
과연 디스크상에 있는 데이터기록? 만으로 프로세싱이 가능 할까요?
물론! 포맷 이후 별도의 위협행위를 하지 않는다는 전제입니다!
좀비 랜섬웨어가 가능한지 궁금하네요 ㅎㅎ
랜섬웨어와 현시대 기술력에 대한 의문..
6개의 답변이 있습니다.
랜섬웨어는 바이러스와는 다릅니다.
바이러스는 전파+행위가 목적인데..
행위(동작) 보다도 전파가 무서운 경우가 많죠.
전파를 하는 행위가 부하를 일으켜 문제가 되는 경우도 많구요
랜섬웨어는 폭탄과 같습니다.
딱 한번 터지는것을 목적으로 하는것이지.
그 탄이 여러번 터지지 않습니다.
바이러스와 합체 되어 어디 스케쥴에 등록이 된다면 가능할 일이지만..
그렇게 할 이유 자체가 없습니다.
딱 한번 터트리고
그 한번으로 힘 닿는데까지 파일을 암호화 하는것이 랜섬웨어입니다.
폭발하고 있는중(암호화)에 메모리에서 해당 프로세스만 Kill하고 악성코드만 지워주면
그냥 클린 상태와 다를바 없습니다.
파일이 실행되야 메모리에 적재가 되는데, 요즘 패턴의 랜섬웨어는 사용자가 실행 하는 것 처럼 하여
윈도우의 ANTI-WALL 이 제어를 못하고 사용자의 실행 패턴으로 보이도록 변화되고 있는 것은 사실입니다.
이것을 의미 한다면 아직까지는 EDR 이나 기타 패턴의 형태로는 잡는 것이 불가능 합니다.
랜섬웨어, 악성코드, 컴퓨터 바이러스, ... 모두 소프트웨어이고요.
소프트웨어가 작동되려면 부트 로더에 의해서 실행되거나, 운영 체제에 의해서 실행되어야 작동될 수 있고요.
부트로드에 의해서 작동될 수 있으려면 디스크 상의 0번 섹터에 실행될 수 있는 형태로 기록되어 있는 상태에서 컴퓨터가 켜져야 하며, 해당 디스크로 부팅이 되어야만 구동가능하겠고...
OS에 의해서 실행될 수 있으려면, OS 자체가 악성 코드에 의해 변조되었거나, 시작 프로그램 등으로 등록되어 있거나 사람이 실행시켜 줘야 되는 것이고요.
바이러스는 자신의 코드를 컴퓨터가 켜질때 자동으로 구동될 수 있게 0번 섹터에 자신이 실행될 수 있게 기록해 두거나, OS를 변조해서 자신이 실행되게 해 두거나, 자동 실행되는 프로그램을 변조해서 자신이 실행될 수 있는 환경을 만들어 두어서 작동되게 되고요.
바이러스가 단순히 디스크 상에 저장되어 있다고 작동을 할 수 있는 것도 아니고요.
바이러스를 포함한 소프트웨어가 실행되어 어떤 일을 할 수 있으려면 명령 코드 하나 하나가 CPU 속에 있는 레지스터라는 처리용 저장 공간에 올려져 처리가 되어 줘야만 가능한 것이며, 단순히 디스크에 저장되어 있거나 Data로 메모리에 적재되어도 제 역할을 할 수 있지는 못하고요.
디스크에 저장되어 있는 일반적인 내용들은 포멧을 하면 모두 제거가 되고요.
디스크에 기록된 베드 섹터 등에 대한 표시를 해둔 메타 데이터들도 로우 레벨 포멧을 해 버리면 완전히 제거 될 수 있고요.
컴퓨터를 깨끗한 부팅 디스크를 이용해서 부팅을 시켰고, 실행되는 프로그램들이 악성 코드에 영향을 받지 않은 상태라면 디스크상에 아무리 많은 악성 코드, 바이러스가 저장되어 있다해도 컴퓨터에 어떤 영향을 미칠 수 있지는 못합니다.
랜섬웨어는 디스크에 저장되지 Ram 까지 영향은 없죠
모르죠 앞으로의 랜섬웨어는 어떨지 항상 변이 되고 어떻게 감염될지도 모르기 때문입니다
다스크만 잘 로우레벨 포맷하시면 큰 문제는 없어요
랜섬웨어 바이러스 모두 디스크에 저장되는 건 아무런 문제가 없습니다
누군가 실행해서 메모리에 올라가고 활성이 되어야지요
포멧하고 os까지 설치했는데 삭제된 랜섬웨어가 복구되어 실행되는 건 os의 아주아주 심각한 보안문제가 있어서 외부에서 컨트롤되거나
os자체가 랜섬웨어가 아니면 불가능하지 않을까요?
danis78 | 3년 이상 전
랜섬웨어에 감염되어서 암호화된 파일들을
랜섬웨어 바이러스라고 착각하시는 분들이 꽤 많더라구요
해당 파일들은 단순히 암호화된 파일들이고 다른 피씨에 옮겨도 전혀 문제 없다고 해도
일단, 파일명 자체가 특이하게 생겼으니 그것 자체를 바이러스처럼 생각하는 거 같아요
랜섬웨어 + 웜 바이러스가 결합된 변종 바이러스가 나와야 가능한데요
일단, 전기를 빼서 pc 전원을 아예 방전 시켜 버리면 메모리 상주하는 건
사실상 불가능하죠
현재 나와 있는 랜섬웨어 바이러스는 단순히 파일 암호화 시키는 수준에 그쳐서
향후에 어떤 변종이 나올지 지켜봐야 알겠죠