이번 피해를 입은 컴퓨터의 OS는 Winodws Server 2019 Standard 입니다.
현재 랜섬웨어에 걸린 하드디스크는 윈도우내에서 일반포맷(빠른포맷X)을 진행중이며, mp4확장자 외 모든 파일들이 당했습니다.
윈도우 서버 OS에서 제공되는 "서버 관리자"를 통해 각 드라이브별로 폴더를 공유해서 촬영한 데이터들을 보관중이었습니다.
파일 수정일자를 보면 당한건 지난주인데, 오늘 공유폴더 들어갔다가 확인됐습니다.
윈도우 디펜더가 꺼져있고, C드라이브 PrefLogs폴더엔 DefenderControl폴더와 newm88p폴더가 있었네요.
파일 저장용 서버 컴퓨터에서 직접 작업을 하는 인원이 없는데 이런일이 발생해서 매우 당황스럽습니다.
어떻게 해커가 이 컴퓨터를 공격한것인지 감이 안옵니다. 또 최근 공유폴더를 이용해서 파일을 전송하거나 내려받은 일도 없었거든요.
이 PC앞에 앉아서 사용하는 인원은 없고 24시간 켜두고 다른 PC에서 파일(사진 및 동영상 데이터) 업로드 및 다운로드용으로 사용중입니다.
회사내 다른 컴퓨터들은 증상이 없고 (해당 폴더 깨끗합니다.) 엔드포인트 보안 프로그램을 설치해두었습니다. (검사 결과 깨끗하네요.)
랜덤으로 아이피주소를 치고 뚫리면 공격하는것일까요?
Windows Server OS가 아닌 우분투로 넘어가면 랜섬웨어에 안전할까요?
감연된 Server PC는 어떻게 처리해야할까요? 감연된 드라이브(D, E, F, G HDD)와 C드라이브(SSD) 전부 로우포맷?이란걸 해야할까요?
예방을 위해 앞으로 어떤 조치를 취해야하는지 알고 싶습니다.
해당 PC랜선은 정신차리고 바로 뽑았습니다.
데이터를 포기하셔도 되면 모든 디스크는 제로핑(와이핑)을 해주시는 것이 좋고
그렇지 않으면 그 랜섬웨어의 해결책이 나올때까지 컴퓨터를 봉인시킨후 해결책이 나오면 그것으로 복구 시도를 해봅니다..
그리고 재일 중요한 것은 아무래도 데이터가 중요하니 독립된 백업 컴퓨터 하나나 두대를 더 마련해서 2차 혹은 3차 백업을 하는 것입니다..
백업 컴퓨터는 작업시에만 네트워크 연결하고요.. 최대한 외부 네트워크와는 단절시키는 것이죠..
아니면 데이터를 유료 웹하드에 올려서 백업 하는 방법도 있습니다..
백업의 방법과 방식은 여러가지이며 본인이 할 수 있고 편한 것이면 됩니다..
데이터 문제는 보통 백업만이 살 길입니다..
저는 회로통제병이였습니다..
이 보직 아는 사람 진짜 드뭅니다..
해당 서버pc가 숙주가 아닌
파일들을 올린 클라이언트 pc중에 숙주가 있을것입니다
그러므로 해당 pc를 찾는것이 관건 아닐까 싶네요
서버 PC만 백신이 없었습니다..
이벤트 뷰어 경로 말씀해주시면 한번 더 확인해보겠습니다
스케쥴 짜서 몇가지 백신 혹은 랜섬웨어 검색 프로그램을 전체적으로 돌려 보세요..
구글링해봤는데 국내사례는 안보이더군요. ㅠ m88p 확장자였습니다..
저는 PC에 한가지 OS설치하면 몇 년 쓰는 스타일인데 재설치는 거의 하지 않습니다..
백신은 디펜더를 주로 셋팅해서 사용했는데 전체 검색하면 2박 3일 이상씩 너무 시간이 많이 걸려서 요즘은 V3lite를 병행해서 사용합니다..
1주일에 한두번 정도 V3 돌리고 디펜더는 15일 혹은 한달에 한번 정도 풀로 돌립니다..
그외에 CCleaner 로 레지스터와 불필요한 화일은 지워버립니다..
이것도 한달에 한번 정도 돌리죠.. 컴퓨터가 이상하다 혹은 느려졌다 생각하면 돌립니다..
그렇게 해서 사무실 PC는 대략 5년 정도 큰 문제 없이 돌아간 듯합니다..(집의 PC도 비슷)
인터넷은 방화벽 같은 것 없고 공유기와 허브 거져서 직결입니다..
가장 먼저 할일은 디스크 싹 다 포맷하세요
이어서 로컬의 다른컴도 다 점검하세요 (공유기등도 점검 필수!)
공격 경로는 세면 끝 없이 많습니다 (로컬의 다른컴을 경유해도 되고, 외부에 서비스중이라면 제로데이 공격으로 뚤리거나 설정 문제로 취약하거나, 웹서버등이면 코드의 취약성을 찔렸을 수 도 있습니다)
그래도 꼼꼼하게 한번 더 확인하겠습니다. 감사합니다!
내부용인데 털리나요? 묻고 싶겠지만 내부 PC 어떤놈 한대라도 길을 만들어주면 서버터는건 아주 쉽습니다.
설마 서버와 클라이언트 관리자 계정 전부 같은계정 사용하는건 아닌지도 의심이 갑니다.
아마 개인PC들도 UAC 꺼버린건 아닌지...
외부에서 터미널 접속할수 있게끔 만든건 없는지 찾아봐야 되고...
이벤트뷰어를 추적하면 답 나오겠지만 랜섬공격하는 애들 이미 그것도 다 없애버리고 시작하더라구요.
그나마 랜섬웨어는 비트락커와는 달리 복구용 프로그램같은걸로 당하는 시점 이전에걸로 복원하는 행운도 있는데 비트락커는 너무 강력해서 답없더라구요.
아마 서버가 쉽게 털린거는 관리자계정과 PC계정을 너무 단순하게 한건 아닌가 의심되고 everyone 권한을 부여한게 아닌지 의심갑니다. 이 everyone 갖고도 풀권한 땡겨오는 방법도 있기에 저런건 애초에 모든 디스크에 제거를 해야됩니다.
혹시 동영상 파일이 남아있는 디스크도 포맷을 해야할까요?
이 디스크에 들어있는 동영상mp4파일은 열리는데, 작업한 사진들과 어도비 등은 모두 잠겨있습니다… 이 동영상파일 옮기려다가 바이러스 퍼지는건 아닐까 걱정됩니다.
윈도우 10 랜섬 걸린적이 있었는데,
Id : user
Pw: 1234
원격데스크톱 열어서 공유기에서 포트만 변경했었는데 털렸습니다. 뭐 아무것고 없는 테스트pc 라 랜섬 확인하고 바로 포맷했구요.
공유기는 아이피타임에 물려서 사용중인데.. 포트변경이 간단할까요?
인간이 외울 수 있는 비번 사용 금지
이정도만 해도 꽤 막아짐
UDP : 137, 138
TCP : 139, 445
혹시 또 차단하거나 바꿔야할 기본적인 포트는 뭐가 있을까요??
혹시 DMZ같은걸 해놨다면 자살행위니 그만두세요
외부 해킹으로 밖에서 바로 접근하는 경우는 사실상 없다고 보면되요 특별히 심각한 OS 보안 패치를 하지 않고 몇년째 사용했다던가 하는 경우가 아니라면..
그리고 기본적으로 OS 방화벽과 네트웍 방화벽이 없는 곳은 없으므로 바로 OS레벨에서 접근해 뚷는 경우는 제가 관련업계에서 일하며 본적이 저는 없습니다..
대부분 내부 네트웍의 윈도우PC 에서 스파이웨어가 설치되면 제어권한을 탈취해서 그안에서 해당 PC로 내부 서버에 접근합니다
왜냐면 내부IP는 일단 대부분 서버에 접근하게 정책을 세워놨을테고 네트웍 드라이브로 마운트해놓거나 해당PC에 관련 계정 정보가 다 들어있을 확률이 높기 때문이죠
그리고 단 한대만 사내 네트웍에 접근해서 뚤리면 위에서 말씀하신대로 쉬운 비번이랑 패턴으로 한대씩 차례로 뚤리기 시작하고 그중 분명 몇대는 중요한 서버계정정보.txt 를 바탕화면에 메모장으로 저장해놓았을 확률이 높습니다.
그래서 아무리 비번을 관리하고 바꾸고 방화벽을 몇겹을 하던 비싼걸 쓰던 추가로 보안 정책을 세우던 아무 상관이 없는겁니다.
방법은 딱하나. 내부 PC에 대한 관리를 철저히 하는 방법뿐입니다. 그래서 오로지 가상화가 답인거 같아요 모든 저장은 네트웍으로 중앙화해서 관리하고 OS 버전은 똑같게하고 소프트웨어도 모두 관리하여 사용하고 매일 NAS 에 필요한 파일 중앙화해서 바이러스 스파이웨어 스캔..
그리고 가장 중요한게 가상화로 대부분 회사가 커버 못하니 사람 교육으로 주기적으로 보안에 대한 의식을 하는 방법뿐... 설치하라 뜨면 무조건 설치하고 YES 눌르는 습관만 없애도 예방 될겁니다.