티스토리 뷰

먼저 아쉬운 점은 당시 랜섬웨어(.jdufok)에 걸리고 스샷을 찍을 정신이 없어 특별한 이미지에 대한 설명은 없습니다. 그리고, 이 글은 관련 바이러스에 감연된 후 컴퓨터 내의 모든 파일이 변경되었다면 도움이 될 수 없으며, 현재 위 바이러스에 감염되어 진행 상태에 있다면 조금 도움이 될 수 있습니다. 지금 감염된 상태에서 이 글을 보고 있다면 먼저 【.jdufok】프로세서를 종료 시키십시요.


프로세서는【작업관리자 - 프로세스 - 프로세스 이름 위에 마우스 오른쪽 클릭 - 위치열기 - 프로세스 강제 종료 후 실행 파일 삭제】를 하시면 됩니다. 그럼 일단 추가 감염은 막을 수 있습니다. 그리고 이 글을 읽어 내려가시면 됩니다.





필자가 【.jdufok】에 감연된 이후 패닉 상태에서 나름 선방으로 여러 자료를 살려내기는 했습니다만, 그 피해를 이루 말할 수 없을 만큼 컷습니다. 또한 위 랜섬웨어에 감염된 이후 네이버에서 검색했을때 단 한개의 글도 없었다는 점에서 최초 감염에 해당 된다고 볼 수 있습니다. 즉! 위의 랜섬웨어는 12월 이후부터 발생된 것으로 추측할 수 있습니다.



  발생개요


필자가 12월 03일 티스토리 초대장을 받았습니다. 그리고 12월 13일 부터 지금 보시고 계시는 티스토리 블로그 디자인 작업을 시작하였으며, 12월 16일에 감염이 되었습니다. 블로그 작업을 하다보면 여러가지 기능을 만들기 위해 여러 소스코드가 필요한데, 이러한 소스코드를 찾기 위해 구글 검색을 하였고, 어떤 티스토리 블로그에 링크된 해외 사이트로 이동한 이후 감염이 되었습니다. 아래 정리를 보도록 하겠습니다.


순서 비고
01. 12월 03일 티스토리 가입
02. 12월 13일 블로그 작업
03. 12월 16일 블로그 작업으로 인해 해외 사이트 방문
04. 12월 16일 해외 사이트 방문 후 감염



단순 사이트 방문만으로 감연되기는 했는데, 방문 했을 당시 증상으로 보자면 팝업창이 노출된 이후 5~8초 정도 화면이 멈추고 부모 팝업과 히든 팝업들이 활발하게 활동합니다. 그때 끄려고 노력하였지만, 꺼지지 않았습니다. 해외 사이트는 오래전에 제작 관련 소스 코드를 제공하던 곳으로 운영을 중단하였고, 관련 도메인이 해커에게 넘어간듯 싶습니다. 오래전에 해당 도메인을 링크한 블로그 주인장은 그걸 알리가 없을테구요.



  증상


감염이 되었을때 모든 파일과 폴더들이 정상이라 크게 신경쓰지 않았었습니다. 즉, 감염된 후 감염 사실을 몰랐다고 봐야지요. 그 이유가 랜섬웨어에 감염되면 모든 파일들이 암호화로 한번에 잠겨버린다고 생각했는데, 그건 아니였습니다. 내가 당시 접속해 있던 하위 폴더내의 파일부터 순차적으로 변경해가고 있었습니다. 그러니 상위 폴더내의 파일을 점검하던 제게 그것이 보일리가 없었지요.





제가 이것을 알게된 것은 작업을 하던 중간 작은 검은색의 도스 화면과 경고창이 하나 출력되면서 대략 【작업을 계속 진행하시겠습니까? Y/N】를 선택하라는 메세지가 출력된 이후 입니다. 이것의 의미는 나중에 알았지만, 이러한 경고창이 보인다면, 이미 랜섬웨어가 일정 부분 감염을 시켰고, 중간에 사용중인 폴더일 경우 동의를 묻는 것입니다. 즉, Y를 선택하면 랜섬웨어가 지속적으로 파일들을 감염해 나가고, N을 선택하면 일단 사용중인 폴더는 감염을 멈추게 됩니다. ※ 다시한번 말씀 드립니다. 정확하게 사용중인 폴더만 감염을 중단하고 다른 폴더를 감염시키고 있는 것입니다. 이 부분에 대한 자세한 안내는 아래 대처방법에서 설명드리겠습니다.





컴퓨터내의 폴더별도 천천히 순서대로 감염해 나가면서 파일들을 암호화 하고 있었습니다. 그러면서 암호화에 성공한 폴더내에 하나의 .TXT 파일을 남겨 둡니다. 내용을 보면 대략 네 컴퓨터는 감염이 되어, 모든 파일이 암호화 되었으니 이것을 해제하고 싶다면 비트코인으로 결제하라, 이고, 컴퓨터의 시스템 권한을 넘겨라! 입니다. 또한, 추가 감염에 대한 경고창은 보통 15분 정도에 한번씩 노출됩니다. 폴더내 파일들을 빠르게 암호화 시키지는 못하고, .TXT 파일들은 암호화 되지 않습니다.



  필자의 대처 방법


일단 필자가 랜섬웨어에 처음 감연되어 보았고, 이렇게 컴퓨터내의 자료에 치명적인 바이러스 자체를 19년동안 걸려본 적이 없었습니다. 그래서 패닉상태에 빠지기도 하였지요. 직업이 웹 개발, 기획, 운영, 관리, 디자인, 마케팅 등을 하는지라 중요 파일이 엄청나게 많았지만, 어차피 서버안에 다 존재하는 거들이고, 두번째로는 외장하드에 60%이상 백업이 되어 있었던 상태라 그닥 충격은 덜했습니다만, 아직 백업도 안한 여행 사진들이 날라갈까봐 걱정이 이만저만이 아니였습니다.





경고창이 계속 출력되자 필자는 N을 계속 눌르면서 사진 파일을 어떻게던 백업하기 위해 고민을 했습니다. 그러다가 다른 폴더의 감염상태를 확인하기 위해 둘러보고 온 사이 사진 폴더가 감염되기 시작하였고, 중간에 다시 경고창이 출력되었습니다. 거기서 다시 N을 선택하여 일단 사진 폴더 감염을 중단 시켰습니다. 감염된 폴더는 삭제 하였습니다. 감염 순서는 폴더명 - 파일명 순서로 감염이 됩니다.


  접속 폴더의 감염 중단에 관련한 부분에 대해 자세히 설명해 보자면, 당신이 만약 지금 감염이 되었고, 진행중에 있다면 당신이 호보하고자 할 폴더 최상위에 접속해 계십시요. 예로 A 라는 폴더가 있고, 그 안에 B . C . T . F . H 라는 폴더가 있다고 가정합니다.   


 그리고 당신은 지금 A 폴더안의 F 라는 폴더에 접속해 있고, 경고창이 출력 되었을때 N 라고 선택합니다. 그럼 A 라는 폴더 내의 B . C . T . H 폴더는 감염이 진행 됩니다. 하지만 당신이 A 라는 폴더에 접속해 있는 상태로 N를 선택하면 그 하위에 있는 B . C . T . F . H 폴더는 감염되지 않습니다.   


혹시 몰라 외장하드는 사용하지 않고, 수십개의 USB중에서 비어있는 32GB 이상의 USB를 골라 컴퓨터에 꼽은 후 중요 사진들을 백업하기 시작하였습니다. 그러나 이후 이러한 방식으로는 백업도 불안한 마음이 들었습니다.


그런데 곰곰히 생각해보니 경고창이 계속 출력되어 감염 사실유무를 질문하고 결정이 된다는 점은 프로세서가 있다고 생각하여, 다음 경고창이 출력될때 프로세서의 이름을 확인하여 아래와 같이 프로세서를 삭제하였습니다. 【.jdufok】프로세서를 【작업관리자 - 프로세스 - 프로세스 이름 위에 마우스 오른쪽 클릭 - 위치열기 - 프로세스 강제 종료 후 실행 파일 삭제】 형식으로 종료시키고 안심하고 백업을 하였습니다. 이렇게 프로세서를 삭제하고 나면 더이상 경고창이 출력되지 않고, 감염의 번식을 막을 수 있습니다. 용량이 큰 사진 폴더들은 네이버 클라우드 서비스를 1개월 결제하고, 옮기기도 하였습니다.


순서 비고
01. 경고창에서 N 선택
02. 보호할 폴더 최상위로 이동후 경고창에서 N 선택
03. USB로 중요파일 백업
04. 네이버 인클라우드 유료 결제 후 백업
05. 프로세서 삭제(이걸 가장 먼저 해야함.)
06. 파일 백업에 시간이 오래걸리고, 프로세서를 삭제 했다면 그냥 놔두고 자거나 볼일 보면 됩니다.


컴퓨터는 모든게 완료되고 난 이후 포멧을 하였습니다. 이런게 처음이라 그런지 초반 대처가 부실했는데요. 초반에 경고창이 출력되었을때 아무것도 모르고 그냥 Y를 계속 눌러댓는데 나중에 랜섬에 감염된 이후 그 경고창이 랜섬웨어 경고창인걸 알았다는 것이죠. 그냥 초반에 프로세서 삭제부터 하고 대책을 고민해 봤다면 더 많은 파일을 살릴 수 있었을텐데 말이죠.



  후기


나중에 알게 된 사실이지만, 프로세서를 삭제하기 이전에 USB를 꽂아두고 백업을 해서 USB 내의 기존 파일 몇개가 감염되어 있더군요. 컴퓨터 포멧후 파일을 옮기기 위해 USB를 접속했는데 USB에 원래 있던 파일 몇개가 감염되어 있다는 사실을 알게 되었고, 관련 파일들을 모두 삭제한 이후 백업 파일들을 내 컴퓨터로 옮겨왔습니다. 이렇게 백업되어 옮겨온 파일에는 아무 이상이 없이 잘 사용하고 있습니다.





이걸 처음 구글과 다음, 네이버에 검색했을 관련 검색어에 대한 자료가 아예 존재하지 않았습니다. 나만 그렇게 걸렸나 생각했는데, 최근 검색해보니 관련 검색어가 등장하기 시작하여 도움이 될지 몰라 포스트를 작성해둡니다.


복구회사에 맡기지 않는 이유는 비용이 높고, 개인적으로는 랜섬웨어 복구회사들에 대한 의심도 있습니다. 작년부터 최근에 발생되는 랜섬웨어들 중 일부분은 복구회사에서 복구가 가능한 것들로만 나타나고, 이러한 랜섬웨어는 기존의 랜섬웨어와 다르게 무언의 허접함을 보이고 있습니다.





또한, 랜섬웨어의 등장 이후 복구 업체가 난립하기 시작하였고, 어떤 경우 일정 확장자로 변경된 랜섬웨어만 전문적으로 복구하는 업체까지 생겨나니 개인적으로 이러한 업체들 또한 의심하지 않을 수 없었습니다. 물론 이건 개인적인 의심과 추측일 뿐이며, 업체들이 그러한 랜섬웨어를 배포하거나 하는 범죄행위에 대한 어떠한 증거도 사건도 없었습니다.


단지, 이크라 전쟁 이후 테러와 협상을 보면, 메이져 테러단체와 협상이 성사되니 되도 않는 소규모의 강도단체가 모두 테러단체가 되어 인질 납치와 협박, 협상등을 유도하는 것 처럼 자본주의 사회에서 발생될 수 있는 흔한 현상일 수 있기 때문에 본인은 그러한 업체들 또한 의심하지 않고 넘어갈 수 없고, 그러한 이유로 업체에 복구를 맡기지 않습니다. 만약 복구해야 된다면 소규모 업체보다는 규모가 큰 기업에 맡기는 것이 더 나을듯 싶습니다.

마지막으로 이런거 배포하는 녀석들 부모형제, 아내, 자녀들 모두 교통사고나 불치병에 걸려 죽지는 말고, 장애가 되거나 병에 걸린 상태로 살아서 더욱더 큰 고통이 발생하길 진심으로 조상님과 팔도강산 산신님들께 기원하며, 글을 마칩니다.