이슈,시사,상식

랜섬웨어(Ransomware)에 감염되다. Magniber

닉네임을 입력하지 않음 2019. 1. 19. 19:34

랜섬웨어 감염으로 파일의 확장자명이 바뀐 모습

 

이제 막 점심 12시가 될 무렵... 황당한 일이 벌어졌다.

 

 

BTS 팬인 초등학생 딸내미가 컴퓨터로 인터넷을 좀 해야겠다고 해서, 자리를 비워주고 책을 읽다, 졸다 하고 있는데... 

갑자기 인터넷이 너무 느려졌다며 불평을 한다.

 

가끔 해당 사이트에 트래픽이 많거나 이상이 있는 경우엔 그럴 수도 있어서, 조금 있다가 봐 주겠노라고 하고는 별일 아니라 생각을 했는데... 

 

 

컴퓨터에 문제가 있는지 살펴보는 과정에서, 위와 같이 대부분의 문서 파일들이 해당 구동 소프트웨어 아이콘은 온데 간데 없고 파일의 본래 확장자명 뒤로 똑같은 이름의 다른 확장자가 붙여져 있는 것을 발견했다.

 

그리고, 그런 문제가 생긴 폴더에는 어김없이 readme.txt라는 파일이 포함되어 있었다. 

 

 

 

 

readme.txt 파일을 여니까.... 위와 같은 메시지를 담고 있는데... 내용인 즉, 문서, 사진, DB 및 기타 중요 파일들이 암호화가 되었다는 것이고... 이들 파일이 손상된 것은 아니지만 암호화를 풀려면 key와 암호해독 프로그램을 받아야 한다는 것이다.

 

그리고 그걸 받으려면 www.torproject.org라는 사이트에서 Tor Browser를 다운 받아 설치하고, 거기에서 적혀 있는 사이트 주소를 열라는 내용이다. 

 

 

거기까지 읽었을 때는 노골적으로 돈을 달라는(요즘은 대부분 비트코인으로 지불하라고 하는 것 같다) 언급이 없어서 설마 '랜섬웨어{ransomware : 몸값(ransom)소프트웨어(software)가 합성된 신조어로서, 타인의 컴퓨터에 있는 파일들을 암호화시킨 후 돈을 요구해서, 돈(ransom)을 받으면 암호를 풀어주는 악성 소프트웨어를 말함)'일까 싶었다.

 

 

그래서, 단지 파일 확장자만 변경시킨 건 아닐까 싶어 해당 파일들에 뒤어 붙은 확장자를 지우고 열어 봤더니... 제대로 열리지 않는다.

 

 

그래서 곧바로 바이러스라는 생각이 들어서, 검색을 하다보니... 처음에는 '케르베르 랜섬웨어'인 줄 알았는데 좀 더 알아보니 Magniber Ransomware와 거의 똑같은 상황임을 알게 되었다.

 

 

한국랜섬웨어침해대응센터 : https://www.rancert.com

 

 

검색을 많이 하진 않았지만, 의외로 랜섬웨어 관련해서 도움을 받을 만한 사이트가 많지 않았다. 

 

그 중에 위의 사이트를 찾아 보게 되었는데, 국가기관에서 운영하는 것이 아니라 일반 기업에서 운영하는 것이었다.

 

 

 

 

 

불행 중 그나마 다행으로 컴퓨터 내에 모든 파일들이 암호화 된 것은 아니어서, 우선은 피해가 확대되는 것을 막아야 했다.

 

해당 사이트에서는 2차 감염을 막기 위해서 컴퓨터에 있는 작업스케줄러에 등록된 스케줄을 삭제할 것을 권했다. 

 

이에, 설명된 내용을 참고해 가며.... [제어판]에서 [모든 제어판 항목]을 선택하고... 거기서 [관리 도구]를 클릭한 후에 [작업 스케줄러]를 열어서 스케줄을 삭제 했다.

 

 

[Magniber 감염 후 작업스케줄러에 등록되는 스케줄 삭제] 방법 :

https://www.rancert.com/bbs/bbs.php?mode=view&id=91&bbs_id=case&page=1&part=&keyword=

 

 

 

하지만, 내가 피해를 당한 랜섬웨어의 암호화된 파일을 복원하는 방법은 아직 공개된 것이 없어서... 우선은 신고를 하는 것으로 조치를 마무리 할 수 밖에 없었다.

 

 

그리고, 딸내미에게는 앞으로 컴퓨터를 사용할 때 이런 문제가 다시 일어나지 않도록... 관련 내용과 함께 피해의 심각성을 이야기해 주고, 앞으로는 그런 실수를 하지 않도록 주의를 주었다.

 

 

랜섬웨어를 만들고 악용하는 사람들도 안타까운게... 사람을 봐 가면서 하지, 나 같은 개인들에게 무엇을 기대한다고 이런 짓을 하는지 싶은 아쉬움이 든다.

 

 

피해만 있을 뿐... 그로 인해 자신이 얻을 수 있는 이득을 기대하기 어려운데 말이다.

 

 

그것 자체를 즐기는 찌질이 변태라서 그러려나?

 

 

 

KISA 인터넷보호나라 랜섬웨어 관련 사이트 : 

https://www.boho.or.kr/ransomware/recovery.do

 

 

 

[덧글] 이 글을 올린지 2개월여가 지난 지금(2019.03.22), 최근에 안랩에서 안티 랜섬웨어 툴(Anti Ransomware Tool)을 제공하기 시작했다. 아직 베타 버전이긴 하지만, 누구나 무료로 설치해서 사용할 수 있으니, 해당 사이트를 방문해서 살펴보고 필요하다면 설치하는 것도 좋겠다. 

 

https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=120

 


이 게시물이 의외로 조회수가 높아서, 혹시나 누군가 필요할 수도 있겠다는 생각에... 나의 랜섬웨어 예방 방법을 정리한 내용을 추가로 올려 본다. 

 

2021/03/01 - [이슈,시사,상식] - 랜섬웨어(Ransomware)를 예방하는 방법 - 기초