헬게이트 외장하드 2TB가 오늘 파티션 테이블을 깨먹었는지... <div>TestDisk 돌려놓고 글을 씁니다.</div> <div><br></div> <div>소형 아파트 하드인데... 후...</div> <div><br></div> <div>이번달엔 이런 일이 좀 많네요. 랜섬웨어에 감염되질 않나, 다른 외장하드 하나가 먹통이 되어서 chkdsk로 살리질 않나..</div> <div>그 중에서 기다리느라 심심하니 랜섬웨어에 걸렸던 소소한 이야기 몇 줄.</div> <div><br></div> <div><br></div> <div><br></div> <div><br></div> <div>랜섬웨어가 제 컴퓨터를 조지러왔던 때는 win7이었습니다.</div> <div>당시에 자료를 구하느라 서양사이트를 돌아다니고 있었는데 아실분들은 아시겠지만</div> <div>쌀국쪽 자료는 미디어파이어라던지 기타 웹하드 링크를 적어놓는 사이트가 거의 대부분이죠...</div> <div>그리고 누르면 광고 사이트가 뜨고 5초 후 스킵을 눌러서 진행하는... 흔히 있는 그런 곳이었는데</div> <div><br></div> <div>아무 의심 없이 5초를 기다리는 도중에 cmd창이 일순 떴다가 사라지는걸 목격했습니다.</div> <div>순간 흠칫했지만 따로 다운로드를 누르거나 하지 않았기 때문에 다른 프로세스에서 잠깐 불렀나보다하고 넘어갔죠...</div> <div><br></div> <div>한동안 이것 저것하다가 자주하는 게임에 들어갔습니다.</div> <div>온라인 게임인데 저장장치 속도 빨을 굉장히 많이 받는 게임(텔레포트를 텔레포 라고 부르는 게임)이었는데요.</div> <div></div> <div>텔레포트 후 맵 로딩이 평소보다 5초는 더 느린 느낌이 들었습니다.</div> <div>두 세번 해보니 뭔가 문제가 생겼다는 감이 왔습니다.</div> <div><br></div> <div>게임을 종료하고 나가보니... 앗차...</div> <div>이미 바탕화면이 개판이 되어있더군요.</div> <div>각종 자료가 .mp3로 바뀌고 돈을 입금하면 푸는 코드를 보내주겠다는 내용이 담긴 .txt와 .jpg가 있었습니다.</div> <div><br></div> <div>우선 변환되는걸 막아야겠다는 생각에 빠르게 재부팅한 후 키플러님의 홈페이지에 가서 다죽여 라는 프로그램을 받아서 실행했습니다.</div> <div>제 컴퓨터를 잠식해가는 놈이 어떤 놈인지는 모르겠지만 윈도우 기본 프로세스빼고 다 죽여버리면 같이 죽을거라 생각했죠.</div> <div>64비트에선 잘 작동하지 않는다는 메세지가 뜨긴하지만 그래도 쓸만합니다.</div> <div><br></div> <div>아무튼 그렇게 프로세스를 다 죽인 후에 제일 심각할 것으로 예상되는 C: 에 가서 둘러봤습니다.</div> <div>폴더 단위로 메세지를 남겨놓았더군요...</div> <div>탐색기 검색으로 메세지 파일을 검색했더니 D: 까지 피해를 입은 것을 확인했습니다.</div> <div><br></div> <div>이진탐색(...)으로 정확히 어떤 폴더까지 잠식이 됐는지 찾아보니 D:₩Games₩LeagueOfLegend(롤이죠)의 서브폴더들의 중간쯤..에서 멈춰있더군요.</div> <div>10분정도 감염이 진행 중인지 지켜봤지만 더이상 진행되는 양상은 보이지 않아서... 이 놈들을 뽑아내는 과정을 시작했지요..</div> <div><br></div> <div>저는 C: 에 바탕화면 빼고는 일절 손을 대지 않기 때문에... 바탕화면을 둘러보고 논문들이 먹힌걸 빼면 ㅠㅅㅠ.. 피해가 없는 것을 확인했습니다.</div> <div>제 논문은 아니고 참고문헌이었으니 다시 받으면 되는 것이었고...</div> <div>D:는 Games보다 위에 있는 폴더는 쓸모가 없었고 중요한 폴더는 그보다 이니셜이 아래. 인터넷 임시 저장 장소는 D:₩Temp를 새로 만들어뒀기 때문에</div> <div>미처 저장해두지 않은 내용들도 다 살아있었습니다. 다른 경로문자가 아래인 파티션들은 피해가 전혀 없었습니다.</div> <div>사전순으로 실행되는 랜섬웨어였나보다 생각하고 안도했지요...</div> <div><br></div> <div>구할 수 있는 파일들(.hwp 등)을 구한 다음에 다른 곳에 보내고 다시 한 번 autorun.inf 같은걸 검색해서 C:와 D: 외에 다른 곳에 존재하는건 아닌지 확인하고...</div> <div>C:와 D:를 처형(포맷)했습니다. C:와 D:에 새로운 삶을 부여한 지금은 문제없이 잘 지내고 있습니다. 휴우... 그 뒤론 조심하고 있습니다.</div> <div><br></div> <div><br></div> <div>한바탕 겪으면서 전달하고자하는 주의점은...</div> <div><br></div> <div>당시 사용했던 브라우저가 결제용으로 켜둔 IE11이었습니다. IE는 나의 원수... 그 후로는 결제 외엔 착실히 엣지나 크롬을 쓰고 있습니다.</div> <div>광고 페이지가 다 나쁜건 아니지만 cmd(도스)창이 떴다 사라지면 무조건 의심하세요. 빨리 손을 쓰시기를...</div> <div>아니면 당연히 뭔가를 계속 변환하고 쓰고 있기 때문에 디스크 속도가 급감합니다. 그걸로라도 눈치를 채주신다면... </div> <div>당장 C부터 닥치는대로 망가트리기때문에 바탕화면의 배경도 까매집니다.</div> <div><br></div> <div>다른 녀석들은 모르겠지만 제가 걸린 놈은...</div> <div><br></div> <div>C:부터 '순서대로' 파일들을 '.mp3 확장자'로 암호화하고 메시지를 남겼습니다. 당연히 확장자를 원래대로 돌려놔도 실행되진 않습니다.</div> <div>말이 암호화지 저라면 그냥 침식 속도 우선으로 헤더 등만 깨트리고 넘어가게 만들어뒀을겁니다. 돈주면 풀어준다는 것도 당연 개뻥.</div> <div>'순서대로' 파일을 망가뜨려서 그나마 살았습니다. 만든 놈이 로직에 그렇게 소질은 없나봅니다.</div> <div><br></div> <div>그리고 재부팅과 다죽여 프로그램으로 감염이 막아진 것이 제일 컸네요...</div> <div>또한 모든 파일이 변경되는게 아니라, 변경되는 확장자가 정해져있습니다. .jpg, .mp3, docx, .pptx 같은 전세계에서 잘 쓰는 파일은 감염되지만</div> <div>.hwp는 감염되지 않았습니다. 맨날 빡침만 주더니 이럴땐 바퀴벌레처럼 잘 살아남는군요...</div> <div><br></div> <div>순서대로 감염이 시작된 드라이브까지만 포맷해주면 재발하지 않았습니다.</div> <div>가만히 놔뒀으면 드라이브 문자열을 통해 접근 가능한 파티션은 다 털리지 않았을까 싶네요.</div> <div>나스의 경우, 감염된 컴퓨터애서 외부 드라이브 경로로 접근할 수 있게 설정한 것이 아니라면 안전했을 것이라 감히 무시해봅니다 (...)</div> <div><br></div> <div><br></div> <div>야밤에 발견해서 쇼크로 잠이 확 깨버렸었죠.. 위에 적은 것처럼 처리하긴했지만 겁나서</div> <div><span style="font-size:9pt;">다음날 출근도 안하고 컴퓨터만 지켜봤었습니다. 다시는 겪고싶지 않네요 ㅠㅠ</span></div> <div><span style="font-size:9pt;"><br></span></div> <div><span style="font-size:9pt;"><br></span></div> <div>아직도 헬게이트 파티션 테이블 분석이 57%네요.</div> <div>일단 살아나긴 할 것 같으니 멘탈 잡고 늦은 점심이나 챙겨먹고 복구 이야기 또 쓰러오겠습니다.</div> <div><br></div> <div><br></div>