랜섬웨어에 걸린 후 어떤 조치를 취해야할까요?

요플레   
   조회 5806   추천 0    

이번 피해를 입은 컴퓨터의 OS는 Winodws Server 2019 Standard 입니다.

현재 랜섬웨어에 걸린 하드디스크는 윈도우내에서 일반포맷(빠른포맷X)을 진행중이며, mp4확장자 외 모든 파일들이 당했습니다.


윈도우 서버 OS에서 제공되는 "서버 관리자"를 통해 각 드라이브별로 폴더를 공유해서 촬영한 데이터들을 보관중이었습니다.

파일 수정일자를 보면 당한건 지난주인데, 오늘 공유폴더 들어갔다가 확인됐습니다.

윈도우 디펜더가 꺼져있고, C드라이브 PrefLogs폴더엔 DefenderControl폴더와 newm88p폴더가 있었네요.


파일 저장용 서버 컴퓨터에서 직접 작업을 하는 인원이 없는데 이런일이 발생해서 매우 당황스럽습니다.

어떻게 해커가 이 컴퓨터를 공격한것인지 감이 안옵니다. 또 최근 공유폴더를 이용해서 파일을 전송하거나 내려받은 일도 없었거든요.


이 PC앞에 앉아서 사용하는 인원은 없고 24시간 켜두고 다른 PC에서 파일(사진 및 동영상 데이터) 업로드 및 다운로드용으로 사용중입니다.


회사내 다른 컴퓨터들은 증상이 없고 (해당 폴더 깨끗합니다.) 엔드포인트 보안 프로그램을 설치해두었습니다. (검사 결과 깨끗하네요.)


랜덤으로 아이피주소를 치고 뚫리면 공격하는것일까요?

Windows Server OS가 아닌 우분투로 넘어가면 랜섬웨어에 안전할까요?

감연된 Server PC는 어떻게 처리해야할까요? 감연된 드라이브(D, E, F, G HDD)와 C드라이브(SSD) 전부 로우포맷?이란걸 해야할까요?


예방을 위해 앞으로 어떤 조치를 취해야하는지 알고 싶습니다.

해당 PC랜선은 정신차리고 바로 뽑았습니다.

짧은글 일수록 신중하게.
박문형 2021-05
우선 물리적으로 랜선을 뽑은 것은 잘 하셨습니다..

데이터를 포기하셔도 되면 모든 디스크는 제로핑(와이핑)을 해주시는 것이 좋고

그렇지 않으면 그 랜섬웨어의 해결책이 나올때까지 컴퓨터를 봉인시킨후 해결책이 나오면 그것으로 복구 시도를 해봅니다..

그리고 재일 중요한 것은 아무래도 데이터가 중요하니 독립된 백업 컴퓨터 하나나 두대를 더 마련해서 2차 혹은 3차 백업을 하는 것입니다..

백업 컴퓨터는 작업시에만 네트워크 연결하고요.. 최대한 외부 네트워크와는 단절시키는 것이죠..

아니면 데이터를 유료 웹하드에 올려서 백업 하는 방법도 있습니다..

백업의 방법과 방식은 여러가지이며 본인이 할 수 있고 편한 것이면 됩니다..

데이터 문제는 보통 백업만이 살 길입니다..
     
요플레 2021-05
데이터 보관을 위한 네트워크 차단 파일 보관 PC 적극 검토 하겠습니다. 군복무때 지통실 PC가 생각나네요..
          
박문형 2021-05
지통실=지휘통제실

저는 회로통제병이였습니다..

이 보직 아는 사람 진짜 드뭅니다..
김황중 2021-05
공유폴더 때문에 그런것일꺼고
해당 서버pc가 숙주가 아닌
파일들을 올린 클라이언트 pc중에 숙주가 있을것입니다

그러므로 해당 pc를 찾는것이 관건 아닐까 싶네요
     
요플레 2021-05
다른 PC들을 봤는데, 깨끗하더군요.
서버 PC만 백신이 없었습니다..
Qsup 2021-05
시스템 로그를 통해 윈도우 디펜더가 꺼진 시점을 확인해보세요.
     
요플레 2021-05
일주일이 넘게 지나서.. 해당 로그가 없네요. ㅠㅠ
이벤트 뷰어 경로 말씀해주시면 한번 더 확인해보겠습니다
박문형 2021-05
지금 걸린 렌섬웨어를 발견할 수 있는 백신이 무엇이 있는지는 모르겠지만

스케쥴 짜서 몇가지 백신 혹은 랜섬웨어 검색 프로그램을 전체적으로 돌려 보세요..
     
요플레 2021-05
랜섬웨어 검색 프로그램.. 찾아보겠습니다.
구글링해봤는데 국내사례는 안보이더군요. ㅠ m88p 확장자였습니다..
박문형 2021-05
약간 다른 이야기지만

저는 PC에 한가지 OS설치하면 몇 년 쓰는 스타일인데 재설치는 거의 하지 않습니다..

백신은 디펜더를 주로 셋팅해서 사용했는데 전체 검색하면 2박 3일 이상씩 너무 시간이 많이 걸려서 요즘은 V3lite를 병행해서 사용합니다..

1주일에 한두번 정도 V3 돌리고 디펜더는 15일 혹은 한달에 한번 정도 풀로 돌립니다..

그외에 CCleaner 로 레지스터와 불필요한 화일은 지워버립니다..

이것도 한달에 한번 정도 돌리죠.. 컴퓨터가 이상하다 혹은 느려졌다 생각하면 돌립니다..

그렇게 해서 사무실 PC는 대략 5년 정도 큰 문제 없이 돌아간 듯합니다..(집의 PC도 비슷)

인터넷은 방화벽 같은 것 없고 공유기와 허브 거져서 직결입니다..
     
요플레 2021-05
소중한 꿀팁 감사합니다.!
막판대장 2021-05
앱체크 무료니까 한번 써보셔요. . 저는 가게에서 3개 돈주고 쓰고 있습니다만. .
     
요플레 2021-05
앱체크..! 알아보겠습니다! 고맙습니다.
dateno1 2021-05
일단 자료 복구는 절망적이니 포기하세요 (태초적 구조가 복원 불가능한 랜섬도 많고, 아니더라도 언제 복구툴 나올지 아무도 보장 못함)

가장 먼저 할일은 디스크 싹 다 포맷하세요

이어서 로컬의 다른컴도 다 점검하세요 (공유기등도 점검 필수!)

공격 경로는 세면 끝 없이 많습니다 (로컬의 다른컴을 경유해도 되고, 외부에 서비스중이라면 제로데이 공격으로 뚤리거나 설정 문제로 취약하거나, 웹서버등이면 코드의 취약성을 찔렸을 수 도 있습니다)
     
요플레 2021-05
D드라이브에 mp4동영상 파일은 살아있지만 작업한 어도비파일이나 사진등은 잠겨있습니다.. 이 잠긴(m88p)파일들만 식제하고 동영상은 남겨둬도 괜찮을까요?
          
dateno1 2021-05
폴더에 숨김 파일 없는지 확인후 없다면 남기셔도 됩니다
               
요플레 2021-05
숨김파일은 항상 보는것으로 되어있는데 안보입니다!
그래도 꼼꼼하게 한번 더 확인하겠습니다. 감사합니다!
술이 2021-05
관리자계정 탈취당한거죠. smb 1.0 만 써도 관리자계정 빼올수 있습니다. IDC단이 전부 DMZ구간이라 거기에 SMB만 열려 있어도 계정 스니핑 하는거 쉽게 털립니다. 서버 설정 administrator 계정 그대로 사용한건 아닌지 의심되네요. 서버 설치하자마자 administrator를 비활성 하거나 계정변경 해야되고 공유폴더 everyone 권한 부여된건 아닌지요? 그랬다면 이것도 쉽게 털립니다.
내부용인데 털리나요? 묻고 싶겠지만 내부 PC 어떤놈 한대라도 길을 만들어주면 서버터는건 아주 쉽습니다.
설마 서버와 클라이언트 관리자 계정 전부 같은계정 사용하는건 아닌지도 의심이 갑니다.
아마 개인PC들도 UAC 꺼버린건 아닌지...
외부에서 터미널 접속할수 있게끔 만든건 없는지 찾아봐야 되고...
이벤트뷰어를 추적하면 답 나오겠지만 랜섬공격하는 애들 이미 그것도 다 없애버리고 시작하더라구요.
그나마 랜섬웨어는 비트락커와는 달리 복구용 프로그램같은걸로 당하는 시점 이전에걸로 복원하는 행운도 있는데 비트락커는 너무 강력해서 답없더라구요.

아마 서버가 쉽게 털린거는 관리자계정과 PC계정을 너무 단순하게 한건 아닌가 의심되고 everyone 권한을 부여한게 아닌지 의심갑니다. 이 everyone 갖고도 풀권한 땡겨오는 방법도 있기에 저런건 애초에 모든 디스크에 제거를 해야됩니다.
     
요플레 2021-05
이번에 포맷하고 administrator비활성화하고 everyone 삭제하겠습니다....
  혹시 동영상 파일이 남아있는 디스크도 포맷을 해야할까요?
이 디스크에 들어있는 동영상mp4파일은 열리는데, 작업한 사진들과 어도비 등은 모두 잠겨있습니다… 이 동영상파일 옮기려다가 바이러스 퍼지는건 아닐까 걱정됩니다.
witbox 2021-05
예전 경험으로
윈도우 10 랜섬 걸린적이 있었는데,
Id : user
Pw: 1234
원격데스크톱 열어서 공유기에서 포트만 변경했었는데 털렸습니다. 뭐 아무것고 없는 테스트pc 라 랜섬 확인하고 바로 포맷했구요.
     
요플레 2021-05
말씀하신 예시보단 어렵고.. 특수문자도 한 글자 들어가있거든요..ㅠㅠ 그래도 더 강력한 계정 패스워드 넣어주도록 변경하도록 하겠습니다..
공유기는 아이피타임에 물려서 사용중인데.. 포트변경이 간단할까요?
          
dateno1 2021-05
기본 포트 사용 금지

인간이 외울 수 있는 비번 사용 금지

이정도만 해도 꽤 막아짐
               
요플레 2021-05
공유기(아이피타임)에서 랜섬웨어가 공격에 사용하는 SMB포트를 차단하면 괜찮을까요?
UDP : 137, 138
TCP : 139, 445
혹시 또 차단하거나 바꿔야할 기본적인 포트는 뭐가 있을까요??
                    
dateno1 2021-05
손으로 안 열면 기본 모든 포트가 막혀있습니다

혹시 DMZ같은걸 해놨다면 자살행위니 그만두세요
김민수2 2021-05
제가 좀 관련업계 종사자로 말씀드리자면... 대부분 내부 PC에서 뚤리는겁니다.

외부 해킹으로 밖에서 바로 접근하는 경우는 사실상 없다고 보면되요 특별히 심각한 OS 보안 패치를 하지 않고 몇년째 사용했다던가 하는 경우가 아니라면..

그리고 기본적으로 OS 방화벽과 네트웍 방화벽이 없는 곳은 없으므로 바로 OS레벨에서 접근해 뚷는 경우는 제가 관련업계에서 일하며 본적이 저는 없습니다..

대부분 내부 네트웍의 윈도우PC 에서 스파이웨어가 설치되면 제어권한을 탈취해서 그안에서 해당 PC로 내부 서버에 접근합니다

왜냐면 내부IP는 일단 대부분 서버에 접근하게 정책을 세워놨을테고 네트웍 드라이브로 마운트해놓거나 해당PC에 관련 계정 정보가 다 들어있을 확률이 높기 때문이죠

그리고 단 한대만 사내 네트웍에 접근해서 뚤리면 위에서 말씀하신대로 쉬운 비번이랑 패턴으로 한대씩 차례로 뚤리기 시작하고 그중 분명 몇대는 중요한 서버계정정보.txt 를 바탕화면에 메모장으로 저장해놓았을 확률이 높습니다.
 
그래서 아무리 비번을 관리하고 바꾸고 방화벽을 몇겹을 하던 비싼걸 쓰던 추가로 보안 정책을 세우던 아무 상관이 없는겁니다.

방법은 딱하나. 내부 PC에 대한 관리를 철저히 하는 방법뿐입니다. 그래서 오로지 가상화가 답인거 같아요 모든 저장은 네트웍으로 중앙화해서 관리하고 OS 버전은 똑같게하고 소프트웨어도 모두 관리하여 사용하고 매일 NAS 에 필요한 파일 중앙화해서 바이러스 스파이웨어 스캔..

그리고 가장 중요한게 가상화로 대부분 회사가 커버 못하니 사람 교육으로 주기적으로 보안에 대한 의식을 하는 방법뿐... 설치하라 뜨면 무조건 설치하고 YES 눌르는 습관만 없애도 예방 될겁니다.


QnA
제목Page 3350/5708
2014-05   5142401   정은준1
2015-12   1676606   백메가
2015-09   5696   가빠로구나
2008-05   5696   권종일
2005-10   5696   윤호용
2012-01   5696   람쥐라궁
2013-02   5696   성투불패
2007-12   5696   한동훈
2008-10   5696   주은총
2006-01   5696   윤영배
2016-07   5696   차넷컴퓨터
2017-01   5697   KunSergio77
2008-12   5697   김건우
2006-03   5697   김정호
2005-06   5697   이병호
2016-10   5697   미수맨
2011-07   5697   방o효o문
2005-10   5697   박용선
2012-05   5697   방o효o문
2006-02   5697   권용섭
2013-05   5697   박동섭
2006-07   5697   문추기