자유 게시판

작년7월, 올4월 랜섬 먹었습니다. - 후기

2022.05.12 21:29

뷰리풀투데이 조회:2389 추천:1

1. 작년 7월 사례

https://windowsforum.kr/free/16583967

https://windowsforum.kr/free/16583967

 

 

설치된 백신

카스퍼스키 프리 - 감지 못함.

대용량 이중압축파일이 백신에서 검사 옵션에서 체크해제되어 있었고.

행동기반? 으로 감지/차단 못한거 같습니다.

 

증상

crackcrackcrack 같은 접미어가 폴더와 파일에 붙음.

 

경과 및 결과

요약하자면 샤오미 mibox 롬업하려고 롬파일 같은것 2개를 다른 소스에서 구했는데 용량이 다르더군요.

문제 롬파일은 iso파일을 이중압축.

압축 2번째 푸는 순간 탐색기의 다운로드 폴더의 파일들 이름이 바뀌는게 보여서.

급히 전원코드 빼버리고 hdd 포맷헤버리고 

몇 개월전 백업해놓은 자료가 있어서 큰 피해가 없었습니다.

 

 

 

 

2. 올 4월 사례

 

설치된 백신

카스퍼스키 프리 (옵션 여러곳에서 검사수준 상향시킴)

앱체크

 

증상

카스퍼스키에 빨간 상태가 떠서 확인해보니 랜섬이 잡혔더군요.

- 로그에 오진들 필터링하다 뭘 건드렸더니 로그가 지워졌습니다.;;

- 카스퍼 프리의 검사레벨을 올린이래 별별게 다 오진으로 잡힙니다. 네이버 n드라이브 같은 것이 주로..

 

앱체크

로그상 앱체크가 두번 차단 실적을 보였습니다.

어찌된 일인지 4월 19일 1차대전 후 21일에 2차 대전이 또 나왔습니다.

2022-05-12 21 03 39.png

 

19일 1차대전

- 크리스탈디스크인포 포터블로 시작, 윈포에 올려주시는 신주쿠 단일버전 아님,

- 신주쿠 그림 안보겠다고 윈포 자료실에서 링크 타고 해외사이트(토런트)로 받은 날.

 

21일 2차대전

- aimp로 시작 (공홈 자료, 기 설치되어있던 어플)

- 2차는 두가지 가능성 생각해봅니다. 전문가가 아니라 추론일 뿐입니다.

- 앱체크 오진.

크리스탈디스크 인포야 토런트니 그럴수 있다 치지만

aimp는 공홈에서 설치해 오래전부터 멀쩡히 쓰던거였던데다 

앱체크가 aimp를 차단 후 일부 mp3를 복원하다 실패한걸로 로그가 뜨지만.

실상은 해당 mp3들이 제 위치에 아무 이상 없이 잘 있었습니다. 현재도 그렇고요.

aimp도 치료하거나 삭제하거나 손 본게 없습니다. 당일날 차단 이후 아무런 색출도 조치도 없는 상황.

- 잠복했던 랜섬이 aimp를 감염후 재발, 복원실패 메세지는 감염직전에 차단되고 이에 대한 메세지 송출 방식의 오류?

 

 

어찌됐든 밑에 내역이 있습니다.

 

2022-05-12 20 51 59.png

 

 

2022-05-12 20 49 55.png

 

 

 

경과 및 결과

21일 당일 각종 멀웨어 툴

- 앱체크, 카스퍼프리로 재검색

- 트랜드마이크로, 맥아피, 캐스퍼 등등 전용툴 돌리고

- 글래리 멀웨어 헌터도 돌려보고

- 바이러스 제로 돌려보고

총 4개 파일과 1개 의심폴더였던걸로 기억합니다.

그 중엔 안전모드로 가서 수동으로 삭제한 것도 있고요.

어플 여러개를 돌렸더니 뭐가 뭘 잡고 지웠는지는.. 기억을 못하겠습니다.

 

금년 랜섬은 파일 변조가 된게 없이 차단되어서 어떤 랜섬인지 확인을 못했습니다.

 

 

 

이후 금일 5월 12일까지 아무 이상 없는걸로 봐서 성공적으로 대응된것 같긴해도 

근시일내 윈도부터 새로 싹 갈아엎어야겠다는 생각.

 

평상시 성인사이트나 포터블자료를 수집하고 다니는것도 아니고.

어쩌다 한 번 받은 자료가 딱 그렇게 걸리다니요.

랜섬웨어가 사방팔방에 심각하게 퍼져있다는 생각도 들고.

 

중요파일 백업 필요성은 물론이겠거니와

작년 7월, 올 4월 2차례 소동을 겪으며 느낀건.

랜섬이 가동되기 시작하면 가동지점의 폴더/디스크 부터 시작되는것 같습니다.

이 폴더 저 디스크 무작위 순서로 마구 번지는 방식은 아닌것 같다는 점.

그렇다면

아예 중요 문서파일. 운영체제, 기타 다운로드 등 비 중요파일 등을 물리적으로 분리된 저장소에 둔다면.

실제 제 시스템이 운영체제 ssd, 문서전용 hdd1, 기타 hdd2 구성에서

세번의 문제는 모두 기타 hdd2에서 발생되어 지지고 볶았습니다.

 

 

자 이렇게 적고나면.

보다 전문적인 지식을 가졌다고 첨언하실 분들 계실것 같습니다.

고귀한 의견 공유, 조언, 해설 모두 미리 감사드립니다.

 

 

번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
43325 [비디오 콘테스트] 강아지/고양이/애완동물 영상 공유하고 ... videoproc 379 05-19
43324 어휴~정신 없어.... [1] 테츠로 778 05-19
43323 최신 AP의 트랜지스터를 모두 1열로 배열하면 Neutrino 503 05-19
43322 짜증나는 댓글 다는 사람들은 왜 그런걸까요? [5] 숲에이드 657 05-19
43321 QuantumPE AdminF. QuantumPE systemF [6] 농심신난년 1123 05-19
43320 WinPENasibootV13Pro2022/ #2 [7] 농심신난년 426 05-19
43319 우크라이나 참혹한 전쟁 기억 VR 박물관 개설 asklee 414 05-19
43318 윈포 광고차단 Adblock 자동해제 ㅎㅎㅎ성공이예요 ㅎㅎㅎ [22] 입문자 1119 05-19
43317 의료 질문.. [3] 테츠로 458 05-18
43316 SPiRiTY 님 고맙습니다. [3] 신은 390 05-18
43315 바탕화면, 시작폴더, 작업표시줄에 바로가기 만들기 [16] 슈머슈마 1180 05-18
43314 마블링의 진실 ㅠ.ㅠ" [5] 4k8k 839 05-18
43313 깡통PE 광고차단 박아 놓았네요 ㅎㅎㅎㅎ [25] 입문자 934 05-18
43312 오늘 또 졌네요 긍지버림 644 05-18
43311 삼겹살의 진실ㅠ.ㅠ." [6] 4k8k 1112 05-18
43310 야식먹기 참 좋은시간이네요.. edadelek 316 05-18
43309 3090구매 하려다가 너무 비싸서 3080ti로 오늘 구매했네요 [2] 도우너2 820 05-17
43308 화성 탐사선 InSight Lander 화성에서 강력한 지진 관측 [1] asklee 603 05-17
43307 삼성 센스 710 Piano 666 05-17
43306 오늘 집에 혼자 있는데 큰일.. 도뽱 802 05-17
XE1.11.6 Layout1.4.8