그제 금요일에 익스플로러로
구글링 하다가 걸렸었습니다.
자세하게 쓰자면
익스플로러 11을 이용해서
전구 관련 게시물을 검색했구요 (백열, 삼파장, LED 의 와트, 밝기 비교 관련 게시물)
외국 사이트인지 국내 티스토리인지 둘중 하나 보다가...
먼가 설치를 하는듯 빠르게 인스톨 바가 생기면서 빠르게 사라지던구요 (두번 정도)
그후에 avast 에서 특정 하드의 디렉토리에 먼가가 의심되서 차단했다고 떴습니다.
바로 빠른검사 했는데 아무것도 나오지 않았구요
검사 끝나고 조금있다가
블루 스크린처럼 먼가 화면이 바뀌더니 영어로 뭐라뭐라~~~~~~~~~~
(아무키도 먹히지 않고 작업관리자로 강제 종료시켰어요)
재부팅 하고 나니 자동으로 영문txt 파일과 html 파일 2개가 시작되면서 아까 보았던 똑같은 영어 단어가 보이더군요
이것저것 검색했는데 결론은 랜섬웨어 였고 복호화가 불가능한 3.0 이라는 결론을 내렸습니다.(2.0 으로 복호화했지만 실패)
확장자 cryp1 였습니다.
하드는 c , d , e 였고
c는 윈도우및 운영에 필요한 프로그램들,
d는 게임
e는 영화 ( 찡긋)
e는 물리적으로 분리후에 c, d포맷하였구요
좀전에 e 연결후에 다시 살펴봤습니다.
영화 모아놓은것들 보니
자막파일은 그대로고 실제 영화파일의 확장자가 변경되었더군요
검색 했을때 영화파일처럼 용량이 큰 파일은 확장자만 원래대로 돌리면 괜찮다고 하였으나
안되더군요
결국 다 지웠습니다.
그리고.........
야구동영상 을 살펴봤는데 다 살아있더군요!!!!!!!!!!!!!!!!!!!!!
확장자도 그대로구요!!!!!!!!!! 물론 재생도!!!!!!!!!
여긴 왜 그러지 라고 생각 해봤는데 폴더를 보아하니
F:\windows\system32 이렇게 되어 있구요 (제가 수동으로 만든 폴더) (다시 하드를 연결하니 e에서 f로 변경)
그안에 임의의 폴더명이 하나 더있습니다. 이 폴더는 숨김으로 해놨구요 (이 폴더 안에 파일들이.....)
생각해보니......
이 랜섬웨어 라는게 사용자의 파일들만 암호화를 할뿐이고
윈도우 작동이라든가 게임을 포함한 몇몇 프로그램은 작동이 되는것이 꽤 많더군요?
또 윈도우가 작동이 되어야 랜섬웨어 제작자들이 요구하는 목적을 달성할수 있으니깐요!!!!!!!
그래서 제가 만들어 놓은 폴더도 랜섬웨어가 윈도우 폴더 인줄 알고 피해간것이 아닐까 생각됩니다.!!!!!!!!!!
이게 사실이라면!!!!!!!
중요한 파일들은 이런식으로 해놓으면 그나마 좀 안심이 되지않을까 해서!!!!!!
글적어봅니다.!!!!!!!!!!!
헤헤