랜섬웨어 새로운 대응법??
2016.06.06 01:34
아직 직접적으로 경험해보지 못해서 어떨지는 모르겠지만..
최근 한 커뮤니티에서 윈도우 시스템 폴더나 그와 동일한 이름의 폴더는 문제가 없었다라는 주장이 있네요..
예를 들어 F:\windows\system32 안에 넣어둔 동영상 파일은 피해가 없었다고 합니다..
이게 정말 먹힌다면 심볼릭링크로 중요파일을 시스템폴더로 돌려놓는 것도 좋을 것 같네요..
댓글 [6]
-
메리아 2016.06.06 10:38 -
DarknessAngel 2016.06.06 16:04
보통 Windows/WinNT폴더는 감염 대상이 아닙니다
이유는 OS손상을 막기 위해서입니다
부트조차 안 되면 비트코인 입금하라는 메세지조차 못 띄우니까요
-
오펜하이머 2016.06.06 12:15
system32 하위폴더가 안전하다 할경우 심볼릭은 원본 경로로도 접근 가능하니 디스크 관리자에서
볼륨을 드라이브명 대신 "ntfs 폴더에 연결" 이런식이면 패치되기전 임시방편은 될거같습니다.
최후방편인 삼바읽기, ftp 쓰기의 경우 ftp 포트번호는 필히 21000 식으로 높게 변경해두어야 세션탐지가 안됩니다.
-
DarknessAngel 2016.06.06 16:03
samba는 안전하지 않습니다
기본 마운트되어있는경우 언제나 감염될 가능성 있습니다
아직까지 ftp를 감염시키는 경우 없었으므로 포트는 별 상관없어보입니다 (다만 마운트시켜두면 안전하지 않고, 클라이언트 프로그램으로 업로드하면 안전합니다 (최저한도로 바이러스가 아니므로 클라이언트 프로그램을 감염시키진 않습니다) )
즉 읽기 전용으로 samba 마운트해서 쓰고, 업로드는 ftp클라라도 쓰시면 됩니다
-
오펜하이머 2016.06.06 16:59
한때 삼바에 쓰기전용 계정을 걸어 사용해보았는데 안전한것도 아닌데다 이건 귀찮아서 미처버릴 지경이더군요
그래서 아예 다음과 같이 설정하고 쓰기는 별도 ftp를 사용하니 큰 불편이 없습니다.
read only = yes
guest ok = yes
-
DarknessAngel 2016.06.08 03:03
ftp 혹시 OS 내장기능으로 마운트해두셨다면 정보 지우시고, 반드시 다른 클라이언트 프로그램 이용하시길 추천합니다
OS내장기능으로 로그인 정보 저장해서 마운트해두면 ftp나 samba나 아무 차이 없이 동일하게 감염될 가능성 있습니다 (아직까지 그런 예는 없지만, 쓰기 권한이 있는 시점에서 안전하지 않습니다)
-