헬게이트 외장하드 2TB가 오늘 파티션 테이블을 깨먹었는지...
TestDisk 돌려놓고 글을 씁니다.
소형 아파트 하드인데... 후...
이번달엔 이런 일이 좀 많네요. 랜섬웨어에 감염되질 않나, 다른 외장하드 하나가 먹통이 되어서 chkdsk로 살리질 않나..
그 중에서 기다리느라 심심하니 랜섬웨어에 걸렸던 소소한 이야기 몇 줄.
랜섬웨어가 제 컴퓨터를 조지러왔던 때는 win7이었습니다.
당시에 자료를 구하느라 서양사이트를 돌아다니고 있었는데 아실분들은 아시겠지만
쌀국쪽 자료는 미디어파이어라던지 기타 웹하드 링크를 적어놓는 사이트가 거의 대부분이죠...
그리고 누르면 광고 사이트가 뜨고 5초 후 스킵을 눌러서 진행하는... 흔히 있는 그런 곳이었는데
아무 의심 없이 5초를 기다리는 도중에 cmd창이 일순 떴다가 사라지는걸 목격했습니다.
순간 흠칫했지만 따로 다운로드를 누르거나 하지 않았기 때문에 다른 프로세스에서 잠깐 불렀나보다하고 넘어갔죠...
한동안 이것 저것하다가 자주하는 게임에 들어갔습니다.
온라인 게임인데 저장장치 속도 빨을 굉장히 많이 받는 게임(텔레포트를 텔레포 라고 부르는 게임)이었는데요.
텔레포트 후 맵 로딩이 평소보다 5초는 더 느린 느낌이 들었습니다.
두 세번 해보니 뭔가 문제가 생겼다는 감이 왔습니다.
게임을 종료하고 나가보니... 앗차...
이미 바탕화면이 개판이 되어있더군요.
각종 자료가 .mp3로 바뀌고 돈을 입금하면 푸는 코드를 보내주겠다는 내용이 담긴 .txt와 .jpg가 있었습니다.
우선 변환되는걸 막아야겠다는 생각에 빠르게 재부팅한 후 키플러님의 홈페이지에 가서 다죽여 라는 프로그램을 받아서 실행했습니다.
제 컴퓨터를 잠식해가는 놈이 어떤 놈인지는 모르겠지만 윈도우 기본 프로세스빼고 다 죽여버리면 같이 죽을거라 생각했죠.
64비트에선 잘 작동하지 않는다는 메세지가 뜨긴하지만 그래도 쓸만합니다.
아무튼 그렇게 프로세스를 다 죽인 후에 제일 심각할 것으로 예상되는 C: 에 가서 둘러봤습니다.
폴더 단위로 메세지를 남겨놓았더군요...
탐색기 검색으로 메세지 파일을 검색했더니 D: 까지 피해를 입은 것을 확인했습니다.
이진탐색(...)으로 정확히 어떤 폴더까지 잠식이 됐는지 찾아보니 D:₩Games₩LeagueOfLegend(롤이죠)의 서브폴더들의 중간쯤..에서 멈춰있더군요.
10분정도 감염이 진행 중인지 지켜봤지만 더이상 진행되는 양상은 보이지 않아서... 이 놈들을 뽑아내는 과정을 시작했지요..
저는 C: 에 바탕화면 빼고는 일절 손을 대지 않기 때문에... 바탕화면을 둘러보고 논문들이 먹힌걸 빼면 ㅠㅅㅠ.. 피해가 없는 것을 확인했습니다.
제 논문은 아니고 참고문헌이었으니 다시 받으면 되는 것이었고...
D:는 Games보다 위에 있는 폴더는 쓸모가 없었고 중요한 폴더는 그보다 이니셜이 아래. 인터넷 임시 저장 장소는 D:₩Temp를 새로 만들어뒀기 때문에
미처 저장해두지 않은 내용들도 다 살아있었습니다. 다른 경로문자가 아래인 파티션들은 피해가 전혀 없었습니다.
사전순으로 실행되는 랜섬웨어였나보다 생각하고 안도했지요...
구할 수 있는 파일들(.hwp 등)을 구한 다음에 다른 곳에 보내고 다시 한 번 autorun.inf 같은걸 검색해서 C:와 D: 외에 다른 곳에 존재하는건 아닌지 확인하고...
C:와 D:를 처형(포맷)했습니다. C:와 D:에 새로운 삶을 부여한 지금은 문제없이 잘 지내고 있습니다. 휴우... 그 뒤론 조심하고 있습니다.
한바탕 겪으면서 전달하고자하는 주의점은...
당시 사용했던 브라우저가 결제용으로 켜둔 IE11이었습니다. IE는 나의 원수... 그 후로는 결제 외엔 착실히 엣지나 크롬을 쓰고 있습니다.
광고 페이지가 다 나쁜건 아니지만 cmd(도스)창이 떴다 사라지면 무조건 의심하세요. 빨리 손을 쓰시기를...
아니면 당연히 뭔가를 계속 변환하고 쓰고 있기 때문에 디스크 속도가 급감합니다. 그걸로라도 눈치를 채주신다면...
당장 C부터 닥치는대로 망가트리기때문에 바탕화면의 배경도 까매집니다.
다른 녀석들은 모르겠지만 제가 걸린 놈은...
C:부터 '순서대로' 파일들을 '.mp3 확장자'로 암호화하고 메시지를 남겼습니다. 당연히 확장자를 원래대로 돌려놔도 실행되진 않습니다.
말이 암호화지 저라면 그냥 침식 속도 우선으로 헤더 등만 깨트리고 넘어가게 만들어뒀을겁니다. 돈주면 풀어준다는 것도 당연 개뻥.
'순서대로' 파일을 망가뜨려서 그나마 살았습니다. 만든 놈이 로직에 그렇게 소질은 없나봅니다.
그리고 재부팅과 다죽여 프로그램으로 감염이 막아진 것이 제일 컸네요...
또한 모든 파일이 변경되는게 아니라, 변경되는 확장자가 정해져있습니다. .jpg, .mp3, docx, .pptx 같은 전세계에서 잘 쓰는 파일은 감염되지만
.hwp는 감염되지 않았습니다. 맨날 빡침만 주더니 이럴땐 바퀴벌레처럼 잘 살아남는군요...
순서대로 감염이 시작된 드라이브까지만 포맷해주면 재발하지 않았습니다.
가만히 놔뒀으면 드라이브 문자열을 통해 접근 가능한 파티션은 다 털리지 않았을까 싶네요.
나스의 경우, 감염된 컴퓨터애서 외부 드라이브 경로로 접근할 수 있게 설정한 것이 아니라면 안전했을 것이라 감히 무시해봅니다 (...)
야밤에 발견해서 쇼크로 잠이 확 깨버렸었죠.. 위에 적은 것처럼 처리하긴했지만 겁나서
다음날 출근도 안하고 컴퓨터만 지켜봤었습니다. 다시는 겪고싶지 않네요 ㅠㅠ
아직도 헬게이트 파티션 테이블 분석이 57%네요.
일단 살아나긴 할 것 같으니 멘탈 잡고 늦은 점심이나 챙겨먹고 복구 이야기 또 쓰러오겠습니다.