랜섬웨어 공격한 실제 파일이름 공개(확장자 msi)

랜섬웨어란?

 

랜섬웨어는 사용자의 컴퓨터를 장악하거나 데이터를 암호화한 다음 정상적인 작동을 위한 대가로 금품을 요구하는 유형의 컴퓨터 바이러스입니다. 

 

사례 소개

지인 컴퓨터에 랜섬웨어가 걸렸다는 말에 노트북을 확인해보았습니다. 아래와 같이 무서운 빨간색으로 경고문구가 떠있더라구요.

 

내용을 살펴보면 아래와 같습니다.

 

ALL YOUR DOCUMENTS PHOTOS DATABASES

AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!

 

Your files are NOT damaged! Your files are modified only.

This modification is reversible.

 

WARNING!

Any attempts to restore your files with the third-party

software will be fatal for your files!

WARNING!

 

The only 1 way to decrypt your files is to

receive the private key and decryption program.

 

Find README.html file in each crypted

directory and follow instructions.

 

번역하자면 아래와 같습니다.

 

모든 문서 사진 데이터베이스
그리고 다른 중요한 파일들은 암호화되었다!

파일이 손상되지 않았다! 파일만 수정되었다.
이 수정은 되돌릴 수 있다.

경고!
타사에서 파일 복원을 시도할 경우
소프트웨어는 당신의 파일에 치명적일 것이다!
경고!

파일을 해독하는 유일한 방법은 다음과 같다
개인 키와 암호 해독 프로그램을 수신한다.

암호화된 각 파일에서 README.html 파일 찾기
디렉토리를 지정하고 지침을 따라라.

안의 파일들을 보니 모두 특정 확장자로 변해있는걸 확인할 수 있었습니다.

 

그럼 어떻게 걸렸는지 확인해보았습니다. 최근 설치한 파일들을 모두 확인해봤는데 아래 사진의 msi 파일이 나오더라구요.

 

파일 이름은 아래와 같습니다.

ERROR.Software.Log.e79864cd0009399e4907574d75c0a338.msi

이 파일이 맞는지 다시 실행해보고 확인을 완료했는데요.

 

이 설치파일을 실행시키고 설치하겠다고 예를 누르는 순간 컴퓨터 안에 있는 모든 파일들이 암호화된 상태로 바꾸고 확장자를 변경했습니다.

 

어디서 받아졌는지는 모르겠지만 msi 윈도우 설치 프로그램이라고 함부로 막 설치하면 안되겠습니다.