작년7월, 올4월 랜섬 먹었습니다. - 후기
2022.05.12 21:29
1. 작년 7월 사례
https://windowsforum.kr/free/16583967
https://windowsforum.kr/free/16583967
설치된 백신
카스퍼스키 프리 - 감지 못함.
대용량 이중압축파일이 백신에서 검사 옵션에서 체크해제되어 있었고.
행동기반? 으로 감지/차단 못한거 같습니다.
증상
crackcrackcrack 같은 접미어가 폴더와 파일에 붙음.
경과 및 결과
요약하자면 샤오미 mibox 롬업하려고 롬파일 같은것 2개를 다른 소스에서 구했는데 용량이 다르더군요.
문제 롬파일은 iso파일을 이중압축.
압축 2번째 푸는 순간 탐색기의 다운로드 폴더의 파일들 이름이 바뀌는게 보여서.
급히 전원코드 빼버리고 hdd 포맷헤버리고
몇 개월전 백업해놓은 자료가 있어서 큰 피해가 없었습니다.
2. 올 4월 사례
설치된 백신
카스퍼스키 프리 (옵션 여러곳에서 검사수준 상향시킴)
앱체크
증상
카스퍼스키에 빨간 상태가 떠서 확인해보니 랜섬이 잡혔더군요.
- 로그에 오진들 필터링하다 뭘 건드렸더니 로그가 지워졌습니다.;;
- 카스퍼 프리의 검사레벨을 올린이래 별별게 다 오진으로 잡힙니다. 네이버 n드라이브 같은 것이 주로..
앱체크
로그상 앱체크가 두번 차단 실적을 보였습니다.
어찌된 일인지 4월 19일 1차대전 후 21일에 2차 대전이 또 나왔습니다.
19일 1차대전
- 크리스탈디스크인포 포터블로 시작, 윈포에 올려주시는 신주쿠 단일버전 아님,
- 신주쿠 그림 안보겠다고 윈포 자료실에서 링크 타고 해외사이트(토런트)로 받은 날.
21일 2차대전
- aimp로 시작 (공홈 자료, 기 설치되어있던 어플)
- 2차는 두가지 가능성 생각해봅니다. 전문가가 아니라 추론일 뿐입니다.
- 앱체크 오진.
크리스탈디스크 인포야 토런트니 그럴수 있다 치지만
aimp는 공홈에서 설치해 오래전부터 멀쩡히 쓰던거였던데다
앱체크가 aimp를 차단 후 일부 mp3를 복원하다 실패한걸로 로그가 뜨지만.
실상은 해당 mp3들이 제 위치에 아무 이상 없이 잘 있었습니다. 현재도 그렇고요.
aimp도 치료하거나 삭제하거나 손 본게 없습니다. 당일날 차단 이후 아무런 색출도 조치도 없는 상황.
- 잠복했던 랜섬이 aimp를 감염후 재발, 복원실패 메세지는 감염직전에 차단되고 이에 대한 메세지 송출 방식의 오류?
어찌됐든 밑에 내역이 있습니다.
경과 및 결과
21일 당일 각종 멀웨어 툴
- 앱체크, 카스퍼프리로 재검색
- 트랜드마이크로, 맥아피, 캐스퍼 등등 전용툴 돌리고
- 글래리 멀웨어 헌터도 돌려보고
- 바이러스 제로 돌려보고
총 4개 파일과 1개 의심폴더였던걸로 기억합니다.
그 중엔 안전모드로 가서 수동으로 삭제한 것도 있고요.
어플 여러개를 돌렸더니 뭐가 뭘 잡고 지웠는지는.. 기억을 못하겠습니다.
금년 랜섬은 파일 변조가 된게 없이 차단되어서 어떤 랜섬인지 확인을 못했습니다.
이후 금일 5월 12일까지 아무 이상 없는걸로 봐서 성공적으로 대응된것 같긴해도
근시일내 윈도부터 새로 싹 갈아엎어야겠다는 생각.
평상시 성인사이트나 포터블자료를 수집하고 다니는것도 아니고.
어쩌다 한 번 받은 자료가 딱 그렇게 걸리다니요.
랜섬웨어가 사방팔방에 심각하게 퍼져있다는 생각도 들고.
중요파일 백업 필요성은 물론이겠거니와
작년 7월, 올 4월 2차례 소동을 겪으며 느낀건.
랜섬이 가동되기 시작하면 가동지점의 폴더/디스크 부터 시작되는것 같습니다.
이 폴더 저 디스크 무작위 순서로 마구 번지는 방식은 아닌것 같다는 점.
그렇다면
아예 중요 문서파일. 운영체제, 기타 다운로드 등 비 중요파일 등을 물리적으로 분리된 저장소에 둔다면.
실제 제 시스템이 운영체제 ssd, 문서전용 hdd1, 기타 hdd2 구성에서
세번의 문제는 모두 기타 hdd2에서 발생되어 지지고 볶았습니다.
자 이렇게 적고나면.
보다 전문적인 지식을 가졌다고 첨언하실 분들 계실것 같습니다.
고귀한 의견 공유, 조언, 해설 모두 미리 감사드립니다.
댓글 [13]
-
▒Boss▒ 2022.05.12 21:48
-
뷰리풀투데이 2022.05.12 22:09
첫 사례가 말씀하신 그거겠네요.
롬파일을 찾다가 다른 2개가 보이니 어떤것이 맞는지 받아본다.
압축을 푼다.
참 교묘하게 노린것 같아요.
iso 파일이어야 했고, 대용량이고, 이중압축이고.
청소년 처럼 호기심 표현엔 반감 100개입니다
호기심과 업소라...
허고 많은 비유중에도 하필 오입질입니까?
거기에 ㅋㅋㅋ 이면 이건 뭐 대놓고 비아냥인거죠?
가시 돋친 글을 즐기시는 모습을 돌아보세요.
그대의 공격적인 인격.
이런 시비를 원하고 적은 글은 아니었지만,
시비를 걸어오면 외면하고 돌아갈 순 없습니다.
누구나 그렇겠지요.
본능에 지배된 나머지 병을 얻는다는 오입쟁이 표현은,
자신의 공격성에 지배되어 자제 없이 대뜸 상대를 공격해버리는 님의 그 모습이 더 맞다고 봅니다만.
-
▒Boss▒ 2022.05.12 22:45
반감 부분은 전혀 생각지 못한 부분인데...
그런 비유를 든건 상황상 그럴듯 해서일뿐 비아냥의도는 없었습니다.
과도기에 일어날법한<라떼...>비유 이거니와 의례히 그런곳에선 뭔가 옮아 오는거 당연시 되기도 했습니다.
그렇기에 눈에 띄이는곳 들어갔다가 악성을 달고나오는 우 를 범할수 있다는거 였어요
첫줄의 출처 를 유의해라 가 본질 이었구요
뭐 쓴소리 하고 듣는거엔 내성이 생긴 사람이라 동요될 그런건 아니지만
오해를 사고싶진 않아서 덧글 남깁니다.
걍 우스게로 비유 했고 그런 의미로 붙힌 ㅋㅋㅋ 였는데 비아냥 이라뇨...^^
첨언 하자면 <악의적 비아냥> 이라거나 공격의 의미 라면 전 첫줄부터 공격적으로 글 적습니다.
제 공격적 성향은 전혀 친절하지 않거든요 ㅎㅎ
-
Asylee 2022.05.14 11:20
꼭 필요한 자료가 있어서 찾다보면, 그런 함정에 걸리게 되더군요.
거미줄 같은 느낌...
-
타천사둘리 2022.05.12 21:48
저는 수시로 taiwebs.com 도 다니는데, 그나마 여긴 안전한 것 같더라구요.
그리고 AVAST 나 ESET 깔아서 사용하고, 국산 악성코드 제거툴인 MalWare Zero
수시로 돌립니다.
저도 랜섬 최근 1년 이내에 2번 정도 걸렸네요.
가장 최근에는 그 날따라 왠지 ESET 을 깔아봐야 겠다고 생각이 들어서
설치하고 나서 이상한 토랭이 사이트에서 파일 다운로드해서 압축풀고,
실행하자 마자 이상한 멀웨어 깔리고, 랜섬 먹다가 ESET 에 다 걸려서
거의 랜섬 피해는 없었네요. 왠지 그 때 며칠 전에 받아놓은 ESET 을
깔고 싶더라니... 다행이었죠.
-
뷰리풀투데이 2022.05.12 22:11
토런트가 참 취얀한것 같네요.
eset도 꾸준히 선방하는군요.
-
프리네 2022.05.13 01:49
백업 철저히 관리하고 베드라도 보이면 바로 새 하드디스크로 이사를 하는데 문제는 그렇게 하다가도
잠시 잠깐새 당한다는게 함정입니다. 하드에 베드가 생겨 새로운 하드로 이사를 하는데 그냥 하드카피하면 될일인데
이왕 하는거 묵은것은 걷어내고 그간 밀렸던것 하는김에 정리하자 싶어 날잡아 하루종일 옮기고 정리하고 했는데
다음날 마지막 몇개를 남겨두고 확인하던중 랜섬이 실행되어 황당하게 1기가 봉인중 입니다. 그것도 제일 중한게 그렇네요.
안했음 몰라도 한다고 했는데 긁어 부스럼이라고 괜한짓 했나 싶고 자료 욕심에 잔뜩 쌓아두고 미련한짓 했구나 싶더군요.
언젠가 선우님이 그랬던가 올려주신 글에 "들여다보면 아까움에 정리가 안되서 그냥 밀어버린다" 하셨던게 자꾸 머리속에 맴돌더군요.
진짜 들여다보면 정리를 하려다가도 아까움에 정리가 안되더군요. 날라가도 뭔지 모르면 궁금하긴 해도 아까운 마음은 안들더군요.
백신이나 나스 클라우드등 많은 방법과 수단이 있지만 완벽한 방법은 아니다 싶고 그냥 욕심을 버리는게 방법이 아닐까 생각해 봅니다....^^;
-
뷰리풀투데이 2022.05.13 17:56
"들여다보면 아까움에 정리가 안되서 그냥 밀어버린다"
ㅎㅎㅎㅎ 맞는 말씀이죠.
밥벌이와 직결되는 그간의 문서파일들이 저에겐 너무 큰 아킬레스건이라 ㅠㅠㅠ.
문서파일은 백업본이 2개에다.. 그럼에도 이런 일 생길때마다 심장병 생길것 같습니다 ㅠㅠㅠ
-
▒Boss▒ 2022.05.13 03:01
""가시 돋친 글을 즐기시는 모습을 돌아보세요.
그대의 공격적인 인격.
이런 시비를 원하고 적은 글은 아니었지만,
시비를 걸어오면 외면하고 돌아갈 순 없습니다.
누구나 그렇겠지요.
본능에 지배된 나머지 병을 얻는다는 오입쟁이 표현은,
자신의 공격성에 지배되어 자제 없이 대뜸 상대를 공격해버리는 님의 그 모습이 더 맞다고 봅니다만.""
위의글이 ""막 청소년기를 탈피하고 호기심천국을 못이겨 찾아간 업소에서 뭔가 옮아왔다...가 아닐지 싶어요 ㅋㅋㅋ""
이 글에대한 판단의 근거 였을거 같지만 과하군요
본능...오입쟁이...공격성에 지배당한...
막 청소년기를 탈피한 시기에 호기심에...를 그렇게 오버스럽게 판단할 근거로는 희미 합니다.
적의적이고 공격적 인건 님의 판단기준 입니다만...
님의 판단기준 으론 호기심으로 그런 사이트를 들어간건 아니고 <의도적 판단으로> 들어간것 이니 제 비유와 다릅니다.
즉 님의 행동이 그렇다 가 아니란 의미구요 님의 적의적이고 악의적 판단이 더 치사 합니다.
그 이유는 제가 덧글 쓰는 와중 3번 정도를 첨가해서 수정 하시더군요
아무레도 캡쳐한 화면<저의 게시글>을 덧글에 추가한 의도와도 같겠구요
읽어는 보셨을지 모르겠으나
당시 의도적으로 악의적 패악질을 하던이들 읽으라 적은글들 입니다.
님은 본문에 뭐가 아닌가 뭐가 이유인것 같다 등등의 글들을 적었으나
그건 에초 <왜,어디서,무엇을,어떻게...>이후의 것들을 나열 한것뿐 이구요
중요한 <신뢰> 할만한 믿을만한 자료인가 입수처는 그런가 를 등한시 해서...라고 저 나름의 답변을 했어요
그걸 등한시 하고 다이소 에서 명품관 인양 찾을수가 애초 없었다는 겁니다.
특히나 펌웨어 라면 더더욱 그렇죠
보통 펌웨어 라면 특히나 공신력 있는곳을 우선해서 찾는게 기본 아닌가 말이죠
님 스스로의 판단착오가 잘못 됬다는 겁니다.
그러니 웃자고 적은 사족에 죽자고 덤비는거 일테구요
본질은 외면하려 애쓰고 사족에만 눈에 불을켜고...그렇게 살면 평안 합니까? ㅎㅎ
-
부는바람 2022.05.13 11:12
저도 두번 감염되어 많은 화일을 저세상 보냈지만
지금 생각해보면 랜섬이라는게 자동으로 감염된것은 없었던것 같습니다.
감염되기 직전
위험경고를 보여주고 실행할것이냐를 묻어올때 OK를 누르는게 도화선이었던것 같습니다.
누르자마자 걷잡을수 없는 백그라운드에서의 작업이 이루어지고..
빨리 컴퓨터 전원을 내리는게 최선이었다는것도...지금 생각해봅니다.
다시 구할수 있는 자료야 조금 번거로울뿐이겟지만 그럲지 못한 자료가 아쉽네요.
컴퓨터 사용하다보면 모든 위험경고에 순응할수는 없다보니 지난번엔 무사햇으니...
더 협조적으로 실시간 보호도 꺼주는 환영까지 해가며 어서오라고....경고에 무감각해진거겠죠.
모든경고에 충실히 완벽하게 따르는 범생이 같이 사용할수 있을까요?
오늘도 다시는 못구할 나만의 자료만 겹겹이 백업해놓고 컴퓨터사용중입니다.
오늘도 무사히!!!
-
뷰리풀투데이 2022.05.13 17:58
윈도우 권한 경고든, 컴 사용하면서 경고를 수없이 보다보니 무덤해 지는 부분도 있는것 같습니다.
윈도 98 정도 시절만 해도 경고가 뜨면 무조건 긴장 아니었던가.. 싶기도 하네요.
좋은 말씀 감사합니다
-
내가사는이유 2022.05.13 11:18 지금도 사람들이 가징 많이 당하는 방식이
확장자 위조죠.
알려진 확장자를 숨기는 옵션을
저는 항상 윈도 깔자마자 끄는데
가끔 자료들을 보면 확장자를 두개를 붙여 놓은 경우가 보입니다.
영상 같은 경우에 많은데
Ransome.mp4.exe 같은 형식으로 만들어 놓으면
이걸 사람들이 mp4영상인줄 아는 경우가 많아요.
영상 볼때 파일을 재생 프로그램에 드래그해서 보는 경우는 그나마 나은데
그냥 탐색기에서 더블클릭해 연결프로그램으로 보는 사람들이 많다보니
이렇게 되면 영상이 재생되는게 아니라
exe 파일이 실행되는거죠.
-
뷰리풀투데이 2022.05.13 18:00
겪어본 케이스는 아니지만 충분히 인지해 놓은 이유가 있는 부분이군요.
창과 방패의 싸움이라고 영원하려나요. 데미지 강도는 점점 높아지고. ㅎ
단하나 받은게 걸렸다...가 중요한게 아니라 보입니다.
그것 만으로 광범위 하게 퍼져있다...라고 판단하기도 그렇구요
우선 해야할것이 <출처> 라 생각 됩니다.
필요해서 구글로 검색해서 찾아갔다...가 걸리는게 보통 일거 같습니다.
보통 검색에 잘 뜨는곳은 별점<좋아요>순 이 아닐겁니다 검색엔진에 우선 걸리는팁 을 적극 활용 하는것이 요주의사이트 가 많은걸로
저 개인적으로 생각 하구요 그렇게 낙점 되어질거라 여겨 집니다 ㅎㅎ
보통 그런경우 별거 없을법한 자료가 요상스레 압축되어 있죠 또는 페킹 되어 있기도 하구요
특히 이중압축을 이유로 iso 등의 <부팅항목도 아닌 자료가?> 확장자 라면 일단 위험!
다 빼고 결론적 판단은 급해서 찾아간곳 알고보니 떳다방...일거 같습니다.
특수목적하에 만들어진 그리고 운영되는 사이트니 자료는 개인적으론 보고싶지 않아요 ㅎㅎ
막 청소년기를 탈피하고 호기심천국을 못이겨 찾아간 업소에서 뭔가 옮아왔다...가 아닐지 싶어요 ㅋㅋㅋ