티스토리 뷰



어느때 부터인가 컴퓨터의 하드디스크에 특수문자가 포함되어 있는 이상한 이름의 폴더가 생기기 시작했습니다. 내가 만든 것도 아닌데 ...... 하는 불안한 마음으로 폴더를 열어보면 *.doc, *.jpg, *.ppt 파일 3개가 있는데 이들 파일 역시 이름에 특수 문자가 포함되어 있습니다. 어제는 폴더를 통째로 지워 버렸는데, 오늘도 나타난 것을 보니 매일 최신의 폴더를 생성하는 모양입니다.


파일을 열기 위해 더블클릭하지 않고 텍스트 편집기로 열어보니 세 파일 모두 파일의 확장자만 다를뿐 내용은 위의 그림과 같이 동일한 내용이었습니다. "This is Ahnlab Decoy File." "Decoy"란 단어의 의미는 ~을 유인하다, ~을 꾀어내다라는 동사적 의미와 명사로는 바람잡이라는 의미가 있습니다. 검색해 보니 V3 시리즈를 유료 및 무료로 배포하고 있는 안랩(http://www.ahnlab.com/)의 백신에서 만들어내는 폴더와 파일 이었습니다.


V3 백신에서 "행위 기반 진단 사용" 옵션을 체크할 때 생기는 특수문자 폴더와 파일로 "행위 기반 진단"이란 악성 코드가 특정 파일을 변형할 때 남기는 흔적을 추적하는 것이 아니라 모니터링과 함께 대상 파일을 숨김처리하는 등의 행위 진단을 통해 검출해 내는 것으로 랜섬웨어 진단에 활용되고 있습니다.

랜섬웨어(ransomware)란 ransom이란 단어의 의미가 배상금, 몸값등의 의미와 함께 ~을 보상하다, ~의 몸값을 지불하고 구해내다인 것처럼 랜섬웨어는 사용자의 파일이나 폴더를 숨기거나 암호를 거는 등의 방법으로 접근을 막고 대가를 요구하는 악성코드라는 의미로 심한 경우 파일복구가 어렵다는 문제가 있습니다.

최근에 USB를 통해 전염되어 폴더가 숨겨지는 Autorun이라는 랜섬웨어를 만난 적이 있었는데, 특수 문자 폴더나 파일이 이런 랜섬웨어를 잡기 위해 만든 미끼 였다는 것이 참 다행입니다. 이런 랜섬웨어가 창궐하고 있다니 조금 이상하고 귀챦더라도 V3 백신의 "행위 기반 진단 사용" 옵션은 체크해두고 사용할 필요가 있겠네요. 필자의 경우 하드 디스크를 파티션해서 사용하고 있는데 이러한 특수문자 폴더는 각 드라이브의 루트 폴더에 모두 생깁니다. 이러한 점을 감안하고 사용하면 되겠습니다.


댓글
댓글쓰기 폼