알약, 윈도우를 랜섬웨어 감지해서 삭제 , 윈도우 랜섬웨어 220830 사태 대처방법

 

 

 

이번 문제는 알약만 지우면되는 문제입니다. 실제로 랜섬웨어가 걸린 것이 아닙니다, 컴퓨터 포맷하시지 마세요. 

 

 

---

 

 

이 게 뭔일인가 싶습니다. 많은 지인 회사들 일부에서 난리가 났습니다. 국내에서 알 시리즈로도 알려진 ESTsoft 에서 알약을 만들어서 배포하고 이를 사용하는 기업들이 많습니다. 일단 무료이기도 하고, 기업에서는 가장 최대한 저렴하게 사용이 가능한 보안, 백신 프로그램이니까요. 

 

 

 

문제는 오늘 8월 30일 오전 11시 30분 업데이트로 알약이 랜섬웨어를 탐지 프로그램을 삭제하는 사건이 발생했습니다.

그런데 여기서 알약이 탐지한 프로그램이 랜섬웨어가 아닌, 컴퓨터 OS인 윈도우 와 MS 오피스 와 관련된 프로그램들입니다.

일반인 , 가정집, 개인 사용자들은 큰 문제가 없겠지만. 이게 국내 프로그램이고 몇몇 중소 기업들에서는 알약을 사용하고 있다보니 사태가 굉장히 커졌습니다. (개인용으로만 문제가 발생했다고 합니다. 기업용 라이선스 사용자들은 문제가 없습니다)

 

 

 

 

 

 차단알림이 뜨기 때문에 단순하게 프로그램을 닫고 빠르게 대처한다면 다행일지 모르겠으나,  문제는 삭제기능까지 연동 혹은 자동적 켜져있는 분들은 큰일이 발생합니다... 바로 삭제과정으로 들어가니까요.

 

 

 

 

 

 

알약 윈도우 랜섬웨어 220830 사태 대처방법

 

 

0. 빠르게 알약 실시간 검사 중단

0. 실시간 검사 중단과 동시에 알약 삭제

0. 인터넷 케이블 제거 

0. 알약 프로그램 종료 + 제거

 

실제로 랜섬웨어에 감염된 것은 아닙니다. 포맷 금지 , Format NONO 

 

1. 실제로 컴퓨터가 랜섬웨어에 감염되어 컴퓨터 내 프로그램이나 문서, 자료들이 날라간, 삭제된 상황이 아닙니다. 윈도우만 건드렸을 것으로 추측이 되는 상황이며, 이 경우엔 복구가 가능한 상황입니다.

 

2. 우선 알약 프로그램을 종료 한 이후 어떤 상황인지 파악하는 것이 가장 중요합니다.

 

3. 위의 0 순위 를 충분히 따라하신 후 안전모드로 부팅을 합니다. 꼭 안전모드로 부팅하세요.
윈도우가 살아있을 경우에 효과가 있습니다.

 

 

안전모드 부팅방법은 아래와 같습니다.

 

 

 

 

 

설정 - 업데이트 및 보안 - 복구 - 고급 시작 옵션 - 지금 다시 시작 에서 안전모드로 부팅 옵션을 선택하시면 됩니다. 

이미 윈도우에서 알약을 제거했기에 안전모드로 부팅시 알약이 실행되지 않습니다.

 

 

 

 

4. 안전모드로 전환 성공시 

제어판에서 프로그램을 찾아준다.
 
 

프로그램 제거 → 알약 삭제 →  삭제가 안될때 강제 삭제 시도
 

알약 강제 삭제 방법 

 
 안전모드에서 실행해야한다!!. 안전모드 들어가는 방법은 위에다 써놈, 못하겠으면 구글링하면 댐 
 
1. 우선 내컴퓨터에 들어간다.
 
2. 아래 경로로 클릭해가꼬 들어가서 다 삭제한다.
C:\Program Files\ESTsoft\ALYac 폴더를 삭제한다. (알약 설치경로로 찾아 들어가면된다)
****이건 기본 경론데 다른 경로에 설치했으면 따로 찾아 들어가라. 손안댔으면 이경로 맞음.
C:\ProgramData\ESTsoft\ALYac 폴더를 삭제한다.
C:\Windows\system32\drivers 폴더 안의 "EstRtwlFDrv, EstCst.sys, EstRtw.sys 등등" Est 붙은거 다 싹 다 삭제한다.

2. '실행' 창 띄워서 regedit 입력하면 레지스트리 편집기가 뜰거다.
그 밑에 아래 경로 들어가서 싹 다 삭제한다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ALYac_RTSrv 　　 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ALYac_UpdSrv 　　
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ALYac 　　
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ALYac_is1 

참고

 

5. 현재 날라간 프로그램이 무엇인지, 회사 중요 서류나 문서가 삭제된 것이 있는지. 체크해야 합니다.

알약이 윈도우와 MS오피스 프로그램만 랜섬웨어로 인식하여 삭제한다- 고 하니 실제 삭제된 것은 윈도우와 관련된 프로그램과 파일일 뿐 실제 저장된 Doc, docx, exl 과 같은 문서들은 멀쩡할 겁니다.

USB 를 통해 백업을 진행 하고 윈도우를 재설치 혹은 복구작업을 진행합니다. 

 

6. 자료 복구가 정상적으로 되었다 하더라도

윈도우 의 필수 파일들이 삭제되어 있을 가능성이 높습니다.  PC 초기화를 통해서 윈도우를 정상상태로 되돌려줍니다.

 

 

마찬가지로 윈도우 내 설정 - 복구 - 이 PC 초기화 를 통해서 초기화 해주시길 바랍니다.

 

 

---

 

 

절망편

 

5. 혹시 파일이나 중요문서, 서류가 날라갔다면 어쩔수 없습니다. 복구업체를 통해 복구를 진행, 서류 , 문서를 복구합니다.

회사 자체에서 복구프로그램 을 가지고 있다면 가장 베스트이이고, 
회사 직원 중에서 개인적으로 복구 프로그램을 보유하고 있다면 그것도 좋습니다만.

 아마 이러한 상황에 대비하고 있는 기업이나 사용자들은 거의 없을 것이며 대부분이 복구업체를 통해서 복구 서비스를 진행합니다.  기업차원이라면 보상받을 수 있는 방법이 있을겁니다. 영수증 같은거 잘 챙겨두세요.

 

6. 복구 된 컴퓨터를, 하드디스크를 복구했다면 우선 이전 자료가 무사한지 체크해보세요.

 

7. 이스트소프트의 알약 으로 인해  생긴 문제입니다. 
기업차원의 문제 발생시 법조관련 기관을 통해서 진행하시면 되겠습니다. 

 

 

 

 

---

 

 개인용으로 사용하던 무료버전의 알약 에서만 이와같은 문제가 발생했다고 합니다. 기업에서 개인용 무료 버전을 사용할 경우 라이선스 위반인 경우인지라, 이와 관련해서 어떤 보상을 받을 수 있는지 알수가 없습니다.  이스트소프트에 문의하시는 것이 가장 빠를 것이라 생각됩니다.