이제 막 점심 12시가 될 무렵... 황당한 일이 벌어졌다.



BTS 팬인 초등학생 딸내미가 컴퓨터로 인터넷을 좀 해야겠다고 해서, 자리를 비워주고 책을 읽다, 졸다 하고 있는데... 

갑자기 인터넷이 너무 느려졌다며 불평을 한다.


가끔 해당 사이트에 트래픽이 많거나 이상이 있는 경우엔 그럴 수도 있어서, 조금 있다가 봐 주겠노라고 하고는 별일 아니라 생각을 했는데... 



컴퓨터에 문제가 있는지 살펴보는 과정에서, 위와 같이 대부분의 문서 파일들이 해당 구동 소프트웨어 아이콘은 온데 간데 없고 파일의 본래 확장자명 뒤로 똑같은 이름의 다른 확장자가 붙여져 있는 것을 발견했다.


그리고, 그런 문제가 생긴 폴더에는 어김없이 readme.txt라는 파일이 포함되어 있었다. 





readme.txt 파일을 여니까.... 위와 같은 메시지를 담고 있는데... 내용인 즉, 문서, 사진, DB 및 기타 중요 파일들이 암호화가 되었다는 것이고... 이들 파일이 손상된 것은 아니지만 암호화를 풀려면 key와 암호해독 프로그램을 받아야 한다는 것이다.


그리고 그걸 받으려면 www.torproject.org라는 사이트에서 Tor Browser를 다운 받아 설치하고, 거기에서 적혀 있는 사이트 주소를 열라는 내용이다. 



거기까지 읽었을 때는 노골적으로 돈을 달라는(요즘은 대부분 비트코인으로 지불하라고 하는 것 같다) 언급이 없어서 설마 '랜섬웨어{ransomware : 몸값(ransom)소프트웨어(software)가 합성된 신조어로서, 타인의 컴퓨터에 있는 파일들을 암호화시킨 후 돈을 요구해서, 돈(ransom)을 받으면 암호를 풀어주는 악성 소프트웨어를 말함)'일까 싶었다.



그래서, 단지 파일 확장자만 변경시킨 건 아닐까 싶어 해당 파일들에 뒤어 붙은 확장자를 지우고 열어 봤더니... 제대로 열리지 않는다.



그래서 곧바로 바이러스라는 생각이 들어서, 검색을 하다보니... 처음에는 '케르베르 랜섬웨어'인 줄 알았는데 좀 더 알아보니 Magniber Ransomware와 거의 똑같은 상황임을 알게 되었다.



한국랜섬웨어침해대응센터 : https://www.rancert.com



검색을 많이 하진 않았지만, 의외로 랜섬웨어 관련해서 도움을 받을 만한 사이트가 많지 않았다. 


그 중에 위의 사이트를 찾아 보게 되었는데, 국가기관에서 운영하는 것이 아니라 일반 기업에서 운영하는 것이었다.






불행 중 그나마 다행으로 컴퓨터 내에 모든 파일들이 암호화 된 것은 아니어서, 우선은 피해가 확대되는 것을 막아야 했다.


해당 사이트에서는 2차 감염을 막기 위해서 컴퓨터에 있는 작업스케줄러에 등록된 스케줄을 삭제할 것을 권했다. 


이에, 설명된 내용을 참고해 가며.... [제어판]에서 [모든 제어판 항목]을 선택하고... 거기서 [관리 도구]를 클릭한 후에 [작업 스케줄러]를 열어서 스케줄을 삭제 했다.



[Magniber 감염 후 작업스케줄러에 등록되는 스케줄 삭제] 방법 :

https://www.rancert.com/bbs/bbs.php?mode=view&id=91&bbs_id=case&page=1&part=&keyword=




하지만, 내가 피해를 당한 랜섬웨어의 암호화된 파일을 복원하는 방법은 아직 공개된 것이 없어서... 우선은 신고를 하는 것으로 조치를 마무리 할 수 밖에 없었다.



그리고, 딸내미에게는 앞으로 컴퓨터를 사용할 때 이런 문제가 다시 일어나지 않도록... 관련 내용과 함께 피해의 심각성을 이야기해 주고, 앞으로는 그런 실수를 하지 않도록 주의를 주었다.



랜섬웨어를 만들고 악용하는 사람들도 안타까운게... 사람을 봐 가면서 하지, 나 같은 개인들에게 무엇을 기대한다고 이런 짓을 하는지 싶은 아쉬움이 든다.



피해만 있을 뿐... 그로 인해 자신이 얻을 수 있는 이득을 기대하기 어려운데 말이다.



그것 자체를 즐기는 찌질이 변태라서 그러려나?




KISA 인터넷보호나라 랜섬웨어 관련 사이트 : 

https://www.boho.or.kr/ransomware/recovery.do




[덧글] 이 글을 올린지 2개월여가 지난 지금(2019.03.22), 최근에 안랩에서 안티 랜섬웨어 툴(Anti Ransomware Tool)을 제공하기 시작했다.  아직 베타 버전이긴 하지만, 누구나 무료로 설치해서 사용할 수 있으니, 해당 사이트를 방문해서 살펴보고 필요하다면 설치하는 것도 좋겠다. 


https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=120


Posted by 순간을 머무는 바람

댓글을 달아 주세요

  1. Favicon of https://paran2020.tistory.com BlogIcon H_A_N_S 2019.01.19 20:56 신고 Address Modify/Delete Reply

    어휴 갑자기 제가 섬뜩하네요. 나쁜넘들...조심해야겠어요. 좋은 정보 감사합니다.

  2. Favicon of https://ioswift.tistory.com BlogIcon CT 2019.01.22 02:53 신고 Address Modify/Delete Reply

    카스퍼스키 쓰시길...

  3. Favicon of https://ioswift.tistory.com BlogIcon CT 2019.01.22 10:28 신고 Address Modify/Delete Reply

    전 다니는 회사마다 V3에서 카스퍼스키로 자꾸라고 하고 있습니다. 실제로 엔터프라이즈 계약을 바꾼 적도 있지요. 덕분에 랜섬웨어 걸린 회사로 외근 다녀오신 분들이 있어도 안전했었습니다.

    • Favicon of https://geoever.tistory.com BlogIcon 순간을 머무는 바람 2019.01.22 20:50 신고 Address Modify/Delete

      이번 기회에 바꿔서 사용할까 봅니다. 복구는 못하더라도 앞으로 다시 이런 일은 없으면 싶네요. 관심 가지고 조언해 주셔서 다시 한번 감사드립니다.

  4. Favicon of https://jujuen.tistory.com BlogIcon 글쓰는 엔지니어 2019.01.22 21:25 신고 Address Modify/Delete Reply

    헐 ㅠㅠ 넘 놀랏겠어요 ㅠㅠㅠ