elenblend 랜섬웨어

일상 2019.01.16 15:26

후.


연구실 컴퓨터 집에서 일좀 더 해보겠다고


원격 데스크톱 포트를 정보전산원에 신청해서 열었는데


일주일만에 원격 데스크톱을 이용한 랜섬웨어에 당했다.



모든 파일이 다 저렇게 됨..ㅠㅠ



대충 타임라인을 그려보자면


1. 금요일 오후. 업무 도중 갑자기 누가 원격 접속하는것 처럼 잠금화면으로 튕김


것도 그냥 튕기는게 아니라 그 원격 접속하면 테마 막 예전 98 테마 이런걸로 가고

그런 거 눈에 보였음

*이때 눈치챘으면 뭐라도 대응할 수 있었겠지만

'내가 잘못눌렀나?'

'뭐지?'

생각이 들어서 그냥 안일하게 다시 로그인 해서 일 진행.

솔직히 누가 들어왔다고는 전혀 생각도 안하고 있었음.

이때 다시 누가 로그인해서 튕겼더라면 이상하다는걸 알 수 있었을텐데..

해커도 치밀해..!



2. 토요일 오전. 출근해서 업무 진행.


이후 저녁 7시 조금 넘어서 퇴근.

(장보고 와서 23시 집에서 스카이캐슬 시청)



3.(이벤트 뷰어, 파일 수정날짜 근거로) 토요일 23:39 공격자가 RDP로 다시 접속


HCI학회준비한 서류 폴더에 XRDP.exe와 NS.exe가 생김

그러고 processhacker.exe가 설치됨.

(이후 랜섬 피해를 확인할 때까지 실행되고 있었음)

 그러고 랜섬 프로그램을 실행한 듯.

곧바로 매우 단시간에 걸쳐 C:와 D:가 병렬적으로 파일들이 암호화됨



4. 일요일 오후 3시경. 랜섬 피해 확인 후 좌절


windows를 제외한 모든 파일


program files


my documents


downloads


가리지 않고 전부 암호화되었으며


컴퓨터가 켜져있을 때 실행되던 프로그램은 


재부팅 후 설정파일 dll파일 이런걸 읽을 수 없어서


더이상 실행 불가


연구 데이터도 작년까지 진행하던건 


다행히 준오 컴퓨터로 공유한다고 보내놓은게 있어 그 코드만 살았다.


https://www.carbonblack.com/2018/07/10/carbon-black-tau-threat-analysis-recent-dharma-ransomware-highlights-attackers-continued-use-open-source-tools/


비슷한 유형의 랜섬웨어를 잘 정리해놓은 기사다.


dharma 랜섬웨어.. 요즘 인터넷 스크립트로 깔리는 랜섬웨어는 하도 웹브라우저가 차단을 잘하니깐


해커 나으리가 원격으로 직접! 행차하셔서 랜섬을 실행시킨단다.


심지어 내 컴퓨터는 windows 로그인 비밀번호까지 있었는데

(물론 쉬운 비밀번호였지만..)


활짝 열고 들어오셔서 랜섬웨어를 실행하고 도주하였다.



근데 이게 랜섬웨어가 설치가 되다 말았는지


your file is encrypted!! 하면서 누구한테 연락하세요~ 이런 프로그램이나 txt가 없었다.


그래서 파일 명에 뒤에 {나의 id} - {email}로 추론하고 다른 사람의 사례를 참조하여


저 엘렌블랜드 개놈한테 지가 서비스로 하나 풀어주겠다는 가장 중요한 cpp파일 하나를 같이 보냈더니


office 파일 pdf파일만 서비스 해주고 cpp는 안해준다더라


그리고 요구한게 1.5BTC


요즘 비트코인이 많이 내려서 4백만원 하던데


그럼 자그마치 6백만원이다.


미친놈


저 요구금액도 대충 실물화폐-가상화폐 가치에 따라 달라지겠지?

 

저 가격 듣고 걍 씹었더니


하루 뒤에 


???


이렇게 한번 더 옴



맨날 엘리베이터 놓치고


문지방에 발 걸려 넘어져라 나쁜놈



결국 다음날 출근해서


깨끗하게 밀고 windows 새로 깔고


엄청 엄격한 비밀번호를 설정하고


환경세팅하는데 꼬박 이틀을 보냈다.


물론 코드 다시 짜는것도 이제 해야한다.




Posted by 딕스트라