본문 바로가기
나만의 일상/생활팁

랜섬웨어 README 바이러스 증상과, 조취

by CoolYong 2016. 11. 26.

어제 회사에서 직장 동료가 노래좀 구해달라고 얘기하더군요. 그래서 잠깐이면 되니 그냥 검색하고 다운 받았습니다. 그런데 그날따라 바로 받아지던 파일이 너무 늦게 받아지더군요? 별 신경 안쓰고 그냥 그려러니.. 하고 기다렸는데 1분정도 후 다운 다 받고 갑자기 파일이름이 변경되네요? 뭐지...? 싶어서 클릭했는데 그후로는 내컴퓨터에 있는 여지껏 작업하고 업무보면서 사용하던 동영상, 이미지파일, 엑셀파일, 등등 전부 다 파일이름이 변해 버리더군요?

아.. 큰일났다! 싶어 바탕화면에만 보이는 변종된 파일 전부 지워버렸는데 이미 시스템 전부 감염이 되었더군요. 내컴퓨터에 있는 설치파일 몇개를 제외한 모든 이미지, 엑셀, 파워포인트, 파일들이 이상한 파일명으로 변해버렸습니다;;;; 생전 처음 이런걸 겪어봤기 때문에 어찌나 당황스럽던지.. 

덕분에 오후내내 업무는 뒷전으로 하고 인터넷으로 여기, 저기 전부 검색해보고, 찾아도 봤지만 결론은 답 없습니다. 죄다 유료로 파일복구 광고들만 있을뿐...

혼자서 끙끙되는데 다른동료가 와서 자기의 경험담을 말해주더군요.

자기도 비슷한거 걸려서 포맷했는데 처음엔 증상이 이렇지만 몇일 지나면 컴이 엄청 느려지고 그나마 열리던 파일도 안열리고 컴퓨터가 다운되는 수준까지 갈수있다 합니다;; 그래도 무시하고 찾아보면 해답이 있을것 같아 계속 방법을 찾아봤는데 설마 했던게 역시나가 되버렸네요. 스트레스만 너무 받고 고치지도 못하고 저녁 늦게 퇴근을 했는데 아... 월요일이 걱정입니다..

포멧하는건 문제가 안되는데 중요한 엑셀파일들, 이미지작업 파일들 전부 날렸습니다... 물론 큰 비용을 주면서 복구를 할 정도까지 중요하진 않기에 그냥 버려야겠지요..

참... 어떻게보면 이런 악성바이러스 유포는 정말 강력범죄인데 아니 어떻게 몇년전 IT강국이였던 한국이 지금은  IT명함도 못 내미는 정도가 된건지... 요즘 전세계에서 한국의 짱님 때문에 나라 망신이다, 뭐다 해서 말들이 많던데 정작 키워야 할 IT쪽은 버려두고 몇천억.... (내 블로그는 더럽히고 싶지않으니 뉴스보시길..^^)  에휴~

서론은 이쯤하고 README 바이러스 증상을 대략 알려 드리겠습니다.

보시는 것 처럼 바탕화면에 있던 파일 대부분이 손상이되었는데요?

파일이름은 몇개 적어드리겠지만 극히 일부분일 뿐이고, 폴더안의 파일들 까지 전부 손상되었습니다.

잘 보이실지 모르겠는데요? 대략 파일명 말씀드리자면

_README_

5MPH-zHSqW.a676
eiaQpSjnvw.a676
hT7AgyQ75R.a676
qkmmY0wlLa.a676
zyMeC640Ix.a676
5NuW5b4Q9m.a676
ESzNySA5uc.a676
IjJSi8AP9T.a676
TMg0XFk7YT.a676
u7PgbntK5O.a676
lBVN7-ppKl.a676
EUHr6UO7LZ.a676
9mv4V22bsE.a676
bU70NeFiE1.a676
FPD6Jb-cPw.a676
MDyg6pP9c5.a676
v4KDOp2Bfo.a676
Cc3uqI-pYt.a676
fr-7TDc7Mk.a676
w-Xe7UnZLf.a676
o1s7njhbff.a676
fr-7TDc7Mk.a676
Cc3uqI-pYt.a676
d60TdGpDnF.a676
gZ7S3Q14-0.a676
Oo3HRFSHYy.a676
X01vSEwRYS.a676
DLw2SwCWH5.a676
hGadRRKxgE.a676
pRLOFG3kPO.a676
Ymh09oNd0B.a676

이렇습니다. 아마 제가 생각하기론 무작위로 바뀌는 것이고, 이렇게 파일명이(무작위 변경이라 파일명은 끝에 676만 보시면 될듯 하네요.) 강제로 변경된다면 무조건 바이러스걸렸다고 보시면 됩니다.

바이러스 유입경로

유입경로는 인터넷의 모르는 사용자의 클릭을 유도하는 자극적인 링크나, 특정 이슈화 되는 곳에 이런 악성바이러스를 심어놓고 클릭시 내컴퓨터에 확장자명 무시하고 강제로 파일명이 변경되면서, 암호가 걸려버렵니다.

제 경우는 유튜브의 영상을 mp3로 다운받았는데 파일명들이 다 변경되어 이상하다 느껴서 제어판>프로그램 삭제란으로 이동 해 보니 제가 설치하지도 않은 microsoft visual c++ 2008 파일이 다운받은 시점에 제 컴퓨터에 설치가 되었습니다. 지우긴 했지만 이미 다 퍼져버린 상황이라... 모르는 사람이 보낸 링크나, 페북의 의심가는 영상클릭도 신중히 해야 할것 같습니다.

조취

솔직히 제가 폭풍검색 해 본 결과로는 포멧 말고는 방법이 없다. 라고 판단됩니다.

다른 유사한 바이러스 걸린분들 글도 읽어보니 다들 기업에서 메인서버가 감염되거나, 무조건 복구해야 될 정도로 중요한 파일이 아니라면 그냥 포맷하는게 낳다 합니다.

그리고 바이러스 걸린뒤 파일을 복구 한다 하더라도 100% 완벽하게 된다는 보장은 없다 하더군요. 이건 아마도 감염된 정도에 따라 틀려지는것 같습니다.

감염된 파일 클릭하면 친절하게 웹사이트로 연결되고 악성바이러스 심은 양반께서 돈을입금해 주면 암호화된 파일을 풀수있게 해 주겠다고 하는데 솔직히 줄지 안줄지도 의문이죠. 정~ 복구를 해야 한다면 복구업체로 문의해 보는것도 괜찮은 방법 같네요. 어차피 제가걸린 바이러스는 내 파일들을 강제로 암호화 시키는 복호화방식의 바이러스이고, 그 암호만 알면 다 원상복구가 가능한 것이니..(암호화된 파일 열어서 캡쳐후 올리고 싶었으나, 왠지 한번 더 열기가 영...찜찜해서리;; )

조취라고 쓰긴 했지만 별로 알려드릴 만한 내용이 없군요;;

저처럼 소잃고 외양간 고치는 일 없도록 미리 렌섬웨어 차단하는 백신유틸 설치하고, 중요한 파일은 외장하드에 따로 저장, 나만의 웹 저장공간이 있다면 거기도 백업해 놓는게 가장 좋은 방법 이라는걸 어제부로 알게되었네요.

미리미리 대비해서 나쁠건 없는것 같습니다 ㅠ

 

PS:혹시 이거 풀수있는 방법 아시는분 팁좀 부탁드립니다 T.T

댓글4

  • Favicon of https://trip98.tistory.com BlogIcon veneto 2016.11.27 23:01 신고

    랜섬웨어에 걸리셨군요;;
    https://www.rancert.com/ransom_kind.php 에서 정확한 랜섬웨어종류를 검색해보세요
    이후 https://www.rancert.com/bbs/bbs.php?bbs_id=rest 에서 복보화가능한 종류를 검색해보세요.
    그리고 포맷하셨다면 app체크를 설치하면 방어할수 있습니다. 제블로그에 앱체크 관련 포스팅 참고해주세요.
    아무래도 신종랜섬웨어인가보네요;;
    답글

  • Favicon of https://prolite.tistory.com BlogIcon IT세레스 2016.11.28 02:08 신고

    도움 되시기 바라며 아래 주소를 남기고 갑니다.
    http://cafe.naver.com/malzero/111553

    부디 랜섬웨어 꼭 치료하시기 바랍니다.!
    답글