태어나서 처음으로 랜섬웨어에 걸렸습니다. REvil/ Sodinokibi

이전에 일어난 몇 번의 경험은 모두 바이러스였습니다. 제가 걸린 랜섬웨어는 레빌 소디노키비(REvil/Sodinokibi) 종류로 아직까지는 데이터 해독 패치 프로그램이 출시되지 않은 것으로 보입니다.

그런데 이번에는 랜섬웨어를 직접 겪어 보니 확실한 차이를 알겠습니다. 랜섬웨어는 바이러스 감염때처럼 PC가 전체적으로 먹통이 되거나 부팅 불가능 상태가 되지는 않습니다.

 

 

랜섬웨어라는 이름이 Ransom(몸값)+Ware(소프트웨어)의 조합인 것에서 알 수 있듯이 시스템을 못쓰게 만들거나 삭제하는 것이 아니라 주로 데이터가 담겨있는 이미지, 텍스트, 비디오, 문서 등의 파일 위주로 암호화한 다음 자신들의 랜섬웨어 이름을 확장자로 붙여버리는 방식을 사용합니다. 그리고 각 폴더마다 텍스트 문서를 넣어서 비트코인 몸값을 요구합니다.

제가 걸리게 된 경로는 북한의 OS로 알려진 붉은 별 OS를 설치하여 사용기 포스팅을 만들어 보려고 했습니다. 그러다 구글 검색으로 나온 한 사이트에서 붉은 별 3.0 설치 파일이라고 써진 것이 올라와 온 것이 보였습니다. 그런데 이상하게 용량이 너무 적네 하면서도 멍청하게도 압축을 풀었습니다.

 

 

확장자가 js이면 자바스크립트고 아닌 게 확실한데도 그걸 윈도우 디펜더로 돌려보고 아무것도 안 나오니 클릭해 버렸습니다.

랜섬웨어들은 이런 식으로 첨부파일 형태나 다운로드 형태로 뿌려진다고 합니다.

커맨드 명령 프롬프트가 갑자기 뜹니다. 나중에 안 사실이지만 이런 작업을 하는 중이었을 것이라고 추측합니다.

즉, 제가 걸린 신종 랜섬웨어는 기존의 한 유형인 Sodinokibi 랜섬웨어와 비슷한 유형으로 아래의 명령을 실행하여 새도우 볼륨 복사본을 삭제하고 윈도우 시작 복구를 비활성화하며, 설정되었던 복원 지점까지 제거해 버립니다.

 

"C:\Windows\System32\cmd.exe" /c vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures

 

나중에 이전 시점 복원이나 복구 화면으로 진입하여 시동 복구를 시도해 보려고 했으나 이러한 부분을 모두 이미 손상시켜둔 것을 발견했습니다. 군데군데 여기저기 심각하지는 않지만 짜증 나는 오류들이 산재해 있고, 어떤 프로그램은 정상이지만 어떤 프로그램은 맛이 가 있고 엉망입니다.

 

위와 같이 이 랜섬웨어에 걸리면 바탕화면도 단색이 아닌 사진으로 바뀌고 자기들이 제작한 화면으로 바꾸어 버립니다. 이들은 주로 아래와 같은 화면을 사용하더군요. 당황해서 미처 캡처하지 못해 매우 유사한 인터넷의 사진을 복사했습니다.

 

바탕화면이 위와 같은 탁한 보라색으로 바뀌고 상단에 메시지가 있다면 랜섬웨어에 당했다는 화면입니다.

아래의 모습은 이미지 파일들이 모두 암호화된 다음 확장자가 바뀌어 있는 모습입니다. 저런 파일들은 설령 뒤의 추가된 문자를 삭제하고 원래의 확장자로 바꾼다고 해도 암호화되어 있기 때문에 손상된 파일이라고 나옵니다.

 

 

손상의 형태는 주로 C드라이브의 경우에는 프로그램 손상이 덜해서 윈도우 설치를 데이터 보존 설치로 해도 무관했습니다. 그런데 D드라이브에 설치되었던 프로그램들의 경우에는 거의 망가진 것 같아 불필요한 것 들은 대부분 삭제하고 중요한 데이터들만 보존해 두었습니다.

왜냐하면 제가 걸린 6p1d2는 아직 암호해독 랜섬웨어 패치 프로그램이 나오지 않아서입니다. 나올 때까지 보존해 두어야 하나 봅니다. 아마도 종류는 REvil / Sodinokibi라는 이름을 가진 랜섬웨어인 모양입니다.

 

아래의 사이트들은 랜섬웨어에 대응하기 위해 참고할 만한 사이트들입니다.

 

- 랜섬웨어 종류 판별 사이트 : id-ransomware.malwarehunterteam.com

- 랜섬웨어 복구 프로그램 수집 사이트 : www.nomoreransom.org/ko/decryption-tools.html

- 한국 랜섬웨어 침해대응센터 : www.rancert.com/ransom_kind.php

- 안랩 랜섬웨어 복구 툴 모음 : www.ahnlab.com/kr/site/securityinfo/ransomware/index.do

- 카스퍼 스카이 랜섬웨어 복구 툴 모음 : noransom.kaspersky.com/

 

제 것은 아직 복구 툴이 나오지 않아 나올 때까지 기다려야 하는 상황이라 중요한 데이터만 백업해두고 D드라이브도 포맷하려고 합니다. 암호화된 중요한 파일들만 하나의 폴더에 모아 두고 C와 D드라이브를 번갈아 가며 포맷할 계획입니다.

 

현재는 모든 하드 드라이브들도 보안 권한이 풀어져 있어 급한 대로 administrators와 MS 계정 두개에게 권한을 몰아주는 방식으로 대충 봉합해 두고 불필요한 것들은 제거하나 재설치하여 사용 중입니다. 노란색 경고창이 나오더라도 계속해서 확인을 눌러주기를 반복하면 되긴 되더군요. 하지만, 불완전한 권한 부여 같아서 포맷 쪽으로 방향을 바꾸어야 할 것 같습니다.

그리고 경험담을 말씀드리면 제 경우에 가지고 있던 윈도우 설치 USB를 통해 C드라이브 덮어씌우는 설치(데이터 유지)를 한다음 설정에서 업데이트를 최대한으로 해서 더이상 아무것도 없을 때까지 했습니다. 그러나, 윈도우 온라인 업데이트 사이트에서 수동으로 업데이트를 걸었을 경우에는 더 많은 것들이 설치되었습니다.

수동 업데이트가 윈도우 설정의 자동 업데이트보다 조금 더 세밀하고 잘 되는 느낌을 받았습니다.

 

MS의 수동 업데이트

 

 

어쨋든, 성가신 일을 겪지 않으시려면 수상한 발신자의 이메일 첨부파일이나 수상한 웹사이트에서의 다운로드 파일을 클릭할 경우 그 파일을 다운로드하여 압축을 풀어서 나온 0000.js 파일 같은 것처럼 용량이 비교적 적고 수상한 파일이라면 바로 삭제하시기 바랍니다. 윈도우 디펜더도 못 잡을 수 있으니 너무 믿지 마시고 그냥 과감히 버리세요.

꼼수일 수도 있겠지만 직업상 자주 첨부파일을 열어봐야 하거나 다운로드 파일을 확인해야 하는 분들은 윈도우의 가상머신 기능을 이용해 OS 내부의 OS를 설치해 내부 OS에서 파일을 개봉하는 것도 피해를 최소화하는 방법일 것이라고 생각합니다.

그나저나 별로 가져갈 것도 없는 내 컴퓨터를 인질로 잡고 비트코인을 요구받는 상황이라니 웃음이 나옵니다.

 

참고.

랜섬웨어 감염후 지워지지 않는 파일 삭제하기