[ 메그니베르 랜섬웨어 Magniber RansomWare ] 에 감염되다.

예외는 없었습니다. 몇달 전, 인터넷을 도배했던 기업들에 대한 [ 랜섬웨어 RansomWare ] 감염이 그저 남의 얘기인줄로만 알았습니다. 돈을 요구할만한 거대기업들만을 대상으로 행해진, 내 얘기가 아닌 남들의 얘기인줄로만 여겼습니다. 그런데, 아니었습니다. 감염에 예외는 없었습니다. 몇주 전 열심히 일을 하고 있는데, 갑자기 컴퓨터 화면에 [ 네이버 클라우드 ] 에 들어있던 수많은 작업 파일들이 끊임없이 동기화되고 있는 팝업이 이어졌습니다. 그 순간에도 몰랐습니다. 그저 단순히 뭔 일이 생겨서 클라우드에서 스스로 알아서 자동동기화를 진행하는줄로만 알았습니다.

그래서, 그 수많은 파일들이 빨리 자동동기화 작업을 끝내주었으면 하는 마음으로 수수방관 손을 놓고 기다렸던 것입니다. 결국, 해당 파일들이 빨리 감염이 완료되기를 기다렸던 셈입니다. 참 어처구니가 없죠?

[ 메그니베르 랜섬웨어 Magniber RansomWare ] 에 감염된 후의 탐색기에서 폴더를 열면 저런 모습으로 변경되어있습니다.

다 끝나고 보니 MS 오피스 관련 엑셀과 문서 파일들, PDF 나 HWP 등의 문서 파일들 모두가 저런 특유의 난수같은 확장자로 100% 바뀌어버렸습니다. 불행 중 다행으로 확장자가 txt, jpg 등의 일반 문서파일이나 그림파일들은 건들이지 않았습니다. 가슴이 철컥 내려앉았습니다. 급한 마음에, 확장자를 원래대로 고치려니, 무시무시한 팝업이 뜹니다. 그러면 파일이 완전 망가져서 복구불가가 될것이다라는,,, 헉~~~~~

무서운 마음에도, 뭔가를 해야 하겠기에 저 README.txt를 조심히 열어 보았습니다.


ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
 ==============================================================================
 Your files are NOT damaged! Your files are modified only. This modification is reversible.

 The only 1 way to decrypt your files is to receive the private key and decryption program.

 Any attempts to restore your files with the third party software will be fatal for your files!
 ==============================================================================
 To receive the private key and decryption program follow the instructions below:

 1. Download "Tor Browser" from https://www.torproject.org/ and install it.

 2. In the "Tor Browser" open your personal page here:

 http://r0i8z75l3o16c1q5vp0.pkj3ljkxhr6tuesz.onion/wwzdwkn

 Note! This page is available via "Tor Browser" only.
 ==============================================================================
 Also you can use temporary addresses on your personal page without using "Tor Browser":

 http://r0i8z75l3o16c1q5vp0.farmiss.space/wwzdwkn

 http://r0i8z75l3o16c1q5vp0.spotair.website/wwzdwkn

 http://r0i8z75l3o16c1q5vp0.sunyou.site/wwzdwkn

 http://r0i8z75l3o16c1q5vp0.bardare.host/wwzdwkn

 Note! These are temporary addresses! They will be available for a limited amount of time!

아주 지랄이었습니다. 한참이나 이러지도 못하고 저러지도 못하다가 용기를 내서 일단 사태 파악이라도 해보려고 용기를 내서 저 내용의 지시를 조심스럽게 따라가 보기로 했습니다. 내용을 알아보아야 뭔 조치를 취하던 말던 할것 같아서였습니다. 정말 욕이 쉴새없이 터져 나오더군요.

 

저 [ 토르 TOR ] 라는 브라우저를 다운받아보다가 영영 돌아오지 못할 곳으로 떠나버리면 어쩌나 싶어서, 다운받기 전 구글링을 엄청해댔습니다. 다행이 브라우저 자체가 감염성있는 악성 프로그램같아보이지는 않았기에 싫고 무서웠지만 하는 수 없이 다운을 받아서 설치를 해 보았습니다. 저 브라우저가 아니면 내용을 볼 수조차 없다잖습니까~

 

마음이 조마조마하고 불안불안하면서 조심스레 부라우저를 실행한 모습입니다. 브라우저 모양도 좀 조악합니다. 요즘 엄청나게 유행하는 단어들인 [ 비트코인 ], [ 블록체인 ] 그리고 [ 익명성 ] 등등, iP 추적이 불가하다는 이유로 좋지않은 행위쪽으로 주로 사용되고있는듯한 브라우저랍니다.

 

저 주소 창에 해당 URL을 조심스레 넣어봤습니다. 다른 일반 부라우저로는 내용조차 볼 수 없다니 어쩔 수 없이 한 행동입니다. 그랬더니, 예상대로 저런 어마무시한 내용이 튀어 나옵니다. 결국, 돈을 노린 거였습니다. 거의 협박성이네요. 저 내용을 보는 순간, 저 놈들에게 어느 정도의 금액이 될지도 모를, 또 그리고 정상 복구가 된다는 보장도 없는 상태에서 데이터 복구 비용을 지불하는건 포기해야겠다는 결정이 서더군요. 물론, 저 시점에는 집에 OFF 상태인 컴퓨터에 남아있으리라 예상되는 전날까지의 데이터 자료들에 대한 확신이 커다란 도움을 주었습니다.

 

욹어먹으려고 아주 난리가 났습니다. 저 단가 금액을 토대로 암호화된 데이터파일 갯수로 대충 계산을 해 보아도, 천문학적 금액까지는 아니더라도, 아예 현재 직업을 포기하는게 더 나을지도 모르겠을만큼의 금액이 예상이 되었습니다. 미친놈들입니다.

 

[ 메그니베르 랜섬웨어 Magniber RansomWare ] 에 감염된 이후 복구툴을 실행하면 무사할 수도 있다는 말에 안랩 홈페이지로 가 보았습니다. 저기 정확히 [ 메그니베르 랜섬웨어 Magniber RansomWare ] 복구툴이라고 있습니다. 하지만, 제공일자를 보니, 거의 두달 전 툴이네요. ㅠㅠ

 

어쨌든 지푸라기라도 잡으려는 마음에 다운받아 설치를 하고 실행을 해보았습니다. 암호화 확장자를 적어 넣는 창에 [ wwzdwkn ] 을 넣고 확인 버튼을 눌렀습니다.

 

혹시나 했는데,,, 역시나 구버전이라서 효과가 없습니다. 정말이지 또 다시 입에서 욕이 터져 나왔습니다. 이젠 집 컴퓨터에 남아있으리라 생각되는 전날까지의 미감염 데이터를 확인해 보는 방법밖에 남아있지 않았습니다. 그래서 일단, 현재 직장 컴퓨터와 네이버 클라우드의 감염된 모든 데이터 파일들을 일일히 몽땅 삭제를 했고, 퇴근 후, 집에 도착하자마자 혹시나하는 마음에 우선 먼저 연결되어있던 랜선을 일단 해제하고 컴퓨터를 부팅했고, 탐색기를 열어보니 다행스럽게도 전날 까지의 감염되지 않은 데이터들은 고스란히 남아있는것을 확인하고 그제서야 안심을 했던 것입니다.

그 이후, 랜선을 연결하고 집 컴퓨터의 감염되지 않는 파일들을 오랜 시간에 걸쳐 네이버 클라우드에 동기화를 시켰고, 또 혹시나 하는 마음에 모든 데이터를 대용량 USB에 백업을 해 놓았습니다. 다음 날 직장에 출근해서 미감염 데이터파일이 올라가있는 네이버 클라우드와 현재 비어있는 직장 컴퓨터의 데이터 파일을 다시 동기화 시킴으로서, 감염되기 전날까지의 모든 데이터를 직장 컴퓨터에 100% 복구 시킬 수 있었엇습니다. 휴~~~~~~~~~~~ 정말 꿈만갖고 식겁했고 아찔했던 1박2일이었습니다.

여러분들~

요즘 메그니베르 랜섬 공격이 일반 개인 피씨까지도 무참히 파고들고 있으니 각별이 주의들 해야합니다. 본인도 2주전 직장에서 감염되서 정말 큰일날뻔했습니다. 다행히 네이버 클라우드를 통해서 직장/집 자동동기화를 사용했었기에, 감염당시 전원 OFF 상태였던 직전일까지의 데이터는 집에 무사히 남아있었기에 망정이지 정말 식겁했었습니다. 이번 공격은 엑셀이나 워드 등 MS S/W 뿐만 아니라 PDF HWP 등등, 사용자 작성 모든 데이터파일의 확장자를 변경시켜놓는 방식인데, 복구가 불가했습니다. 그러니, 윈도우 등 OS 보안업글은 최대한 빨리 해놓고, 바이러스 풀그램도 항상 최신으로 유지하고, 중요한 데이터 파일들은 가능하면 하루단위로 Zip 등 확장자로 백업해 놓을 것을 강력히 권해 드립니다.. 다시 말하건대, 감염에 예외는 없었습니다.