안녕하세요. 체크멀(CheckMAL)입니다.

주말을 이용하여 국내 대형 커뮤니티를 통한 CryptXXX 랜섬웨어가 대규모로 유포되었으며, 이로 인하여 문서, 사진 등의 파일이 .crypz 확장명으로 암호화되는 피해를 겪으신 분들이 많은 것으로 알려지고 있습니다.

특히 AppCheck 안티랜섬웨어 (무료 버전) 제품이 설치된 경우 CryptXXX 랜섬웨어 감염으로 파일 암호화가 진행될 경우 차단 메시지가 지속적으로 발생하여 제대로 차단이 이루어지지 않는다고 불안해하시는 경우가 있습니다.

우선 AppCheck Pro 버전(유료)과는 달리 무료 버전에서는 CryptXXX 랜섬웨어 행위 탐지 시 암호화를 수행하는 정상적인 시스템 프로세스(explorer.exe / svchost.exe)를 차단만 하도록 설정되어 있으며, AppCheck Pro 버전(유료)은 차단 및 제거 기능이 포함되어 있습니다.

하지만 CryptXXX 랜섬웨어는 프로세스 차단 시 재실행되도록 제작된 문제로 차단된 프로세스가 지속적으로 재활성화되는 문제가 발생할 수 있습니다.

그러므로 AppCheck 안티랜섬웨어 (무료 버전) 사용자는 다음과 같은 수동 처리 방법을 이용하여 더욱 빠른 차단이 이루어지도록 하시기 바랍니다.

1. AppCheck 도구 메뉴의 "위협 로그" 중 "랜섬웨어 행위 탐지" 항목의 explorer.exe 또는 svchost.exe (차단) 항목을 선택하여 마우스 우클릭을 통해 "파일 위치 열기" 메뉴를 실행하시기 바랍니다.

2. 이를 통해 자동으로 Windows 탐색기는 임시 폴더에 생성하여 파일 암호화 행위를 수행하는 explorer.exe 또는 svchost.exe 파일을 선택합니다.

3. 자동 선택된 explorer.exe 또는 svchost.exe 파일에 마우스 우클릭을 통한 "이름 바꾸기 (F2)"를 선택하여 .exe 확장명 뒤에 .bak 이름을 추가하시기 바랍니다.

explorer.exe.bak 또는 svchost.exe.bak 형태로 파일명이 수정된 경우 지속적으로 생성되어 파일 암호화 행위를 수행하는 CryptXXX 랜섬웨어 행위는 자동으로 종료가 이루어집니다.

4. 마지막으로 해당 행위를 수행하는 CryptXXX 랜섬웨어의 숙주 파일(.dll)은 explorer.exe 또는 svchost.exe 파일이 존재한 해당 폴더 내에 존재하므로 백신 프로그램을 이용하여 정밀 검사로 제거하시기 바랍니다.

위와 같이 AppCheck 안티랜섬웨어 무료 버전 사용자는 CryptXXX 랜섬웨어 감염으로 지속적인 차단 증상이 발생할 경우 수동으로 처리하시기 바라며, AppCheck Pro 유료 버전 사용자는 자동으로 파일 처리가 이루어지므로 CryptXXX 랜섬웨어로부터 안전하게 데이터를 보호하실 수 있습니다.

감사합니다.