'말록스 랜섬웨어'에 해당되는 글 1건

  1. 2021.11.11 mallox 랜섬웨어 감염 2
2021. 11. 11. 17:46

갑자기 회계 프로그램들이 안된다고 하더라...

 

그래서, 회계전용 서버 피씨를 확인해 봤더니, 많은 에러들이 떠 있고,

 

DLL 파일을 찾을 수 없다고 써 있더라..

아래사진처럼...

바탕화면엔 기존에 있던 프로그램들이 다 사라졌더라...ㅠㅠ

 

헐.....이게 머지???

이러고선, 내 컴퓨터를 열어서, 폴더를 봤더니....

 

파일들이 이상하다...

 

1KB 파일들이 많다.... 그리고.,... mallox라는 확장자로 되어있다...

이게 머지??????

 

첨보는 확장자들이다....

 

이때까지만 해도 앞으로 올 후폭풍을 예상하지 못했다......

 

바보같이... 인터넷에서 "mallox 확장자"를 검색하고 있었으니...

 

여러폴더들을 확인하다가.....

 

회계프로그램 백업자료 들어가는 폴더를 확인했는데...

아래그림처럼 BAK 파일들 확장자가 다 mallox로 바뀌어 있다.

 

 

이때부터 먼가 심상치 않음을 느끼고....ㅠㅠ

 

일단 마음을 진정하고 바람쐬며 담배를 한대 피고 왔다..

 

그리고, 다른폴더들을 보니, 다 그렇더라..

 

그리고, 아까 C 드라이브에서는 놓쳤던,

RECOVERY_INFORMATION.txt 파일 또는 HOW TO RECOVER!!.txt 파일이 보이더라...

아.... 열어도 될까? 고민은 하다가.... 불구덩이에 뛰어드는 심정으로 판도라의 상자를 열었다.

 

하..... 참...여기저기 모든 폴더에 열심히도 txt파일을 뿌려놓았드라....

군대있을때 받았던 편지도 못볼까봐 같은 내용을 이렇게까지 열심히 복사해 놓지 않을텐데..

혹시나 바보같은 물주들이 못볼까봐 열심히도 써 놓았다. ㅎㅎㅎㅎ

 

위 내용을 그대로 해석하자면, 

 

너의 파일들은 암호화되었다!!

복호화(암호푸는거)를 하려면, 아래 설명을 따라라.

복구하려면 복구툴이 필요하다.

복구툴을 얻기위해 너가 해야될것

1. Personal ID를 포함해서, 메일을 보내라.

2. 우리는 몇개의 파일을 무료로 테스트 해줄것이다. (가치없는 파일들), 그리고 그다음에 우리는 전체파일의 가격을 알려줄것이다.

3. 복구툴에 대한 지불방법을 알려줄거고, 결제가 되면, 넌 복구툴을 받을거다.

4. 우리는 복구툴을 가지고 있다는 증거로 몇개 파일을 복구해 줄 수 있다.


연락처  이메일 주소,

내 개인 ID 번호

 

 

이렇게 있는거다..

하......진짜 읽다가 속에서 몇십년동안 쌓아놓은 욕이 나오는데.... 차마 옆에 있는 회사 직원들이 들을까봐 

말도 못하고,,,속으로 삭히느라... 죽는줄 알았다.

 

 

랜섬웨어 어원대로...인질로 잡아서... 돈을 요구한다. 그리고, 자기들이 증거로 몇개만 해주겠다...

아... 이런 불공정거래도 없다...ㅠㅠ

난 거래할게 없으니까... 그냥 따라야하는....

 

어쨌든, 바로 인터넷 선부터 뽑았다.

 

혹시나 네.트.워,크 타고 다른피.씨도 감염될지 모르고...  공.우.폴떠 도 있으니...

 

그리고 인터넷을 겁나 뒤졌음...... 근데.... mallox로 검색해도 자료도 거의 없고...

 

올라온 글들보니.. 대부분 최근 몇일 사이에 올라온 글들이다.

 

최신 랜섬웨어다. 하.....ㅠㅠ

 

외국사이트에서 받으라고 하는 프로그램들이 있더라...

 

대부분 광고 필이지만.... 지푸라기라도 잡아야되므로... 안될지 알면서 다운을 받기 시작했다.

 

그리고, 버리는 usb로 복사해서 랜섬웨어 걸린피씨로 복사해서 설치했는데..

 

하나 설치하고, 재부팅하면, 바탕화면에서 아이콘이 없어진다.

 

시작버튼은 안눌러지고.

 

그래, 그러면 재부팅하지말고, 프로그램 돌려보자, 하고, 실행하니...

 

인터넷 연결이 필요하단다....

 

랜섬웨어 걸린피씨를 내부 공유기에 꼽기도 불안하고...결국 핫스팟으로 연결했다.

 

항상 만약을 대비하는 난 에그와 무선랜카드가 준비되어 있지... 그걸로 어찌어찌 연결하고,

 

랜섬웨어 잡아준다는 프로그램들 업데이트 하고 검색했다.

 

캡쳐는 못했지만, 무섭게 빨간글씨로 멀 찾았다고 엄청 뜬다.

 

그리고 복구를 누르니...결제하란다.....ㅠㅠ

 

시중에 도는 특히 외국 백신, 랜섬웨어 잡아준다는 프로그램들은 다 결제해야한다.

 

그래서 다시 빨간 목록들을 봤다.

 

그냥 쓸데없는 쿠키 목록들같은거고, 별거 없다.

결론은, 램섬웨어는 하나도 못 잡음.ㅠㅠ

 

최악...................!!!!!!!!!!!!!!!!!!!!!!!!!!!

 

노모어랜섬웨어.org 에서는 파일을 복호화 해준다고 해서 들어가서 복호화 가능 랜섬웨어를 확인했더니..

https://www.nomoreransom.org/ko/index.html

 

 

mallox는 없다. 

진짜 최신이라 없나보다.

ㅠㅠㅠㅠㅠ

혹시 다른 랜섬웨어 걸리신 분들은 검색해 보시길......

복구툴이 있으면, 아래처럼 다운로드 링크가 있다.

어디 외국 사이트를 보니, 윈도우 복구모드로 들어가서, 백업된거 있으면, 날짜 되돌리기를 하라는 글을 봤다.

 

그래서 어찌어찌해서, 복구모드로 부팅을 해서, 봤는데, 걸리기 전날 백업된게 있더라, 

 

그래서 그날로 복구 눌러서 부팅을 했는데~ 오호호~ 바탕화면이 이전처럼 돌아온거다~

 

그래서 다행이다 하고, 백업파일을 봤는데... mallox 파일들은 안바뀌어 있었다.

 

아마, 윈도우 못쓰게 파일명 바꿔놓은 윈도우 관련 파일들만 복구된거 같았다.

 

그리고 좀있다가 갑자기 블루 스크린이 떴다.

 

그리고, 무한 부팅......... 

하....다행히, 하드빼서, 다른 피씨에 연결해서 보니, 파일들은 그대로 있었다.

 

결국 실패ㅠㅠ  하드윈도우 망가진거 같고.....

 

 

 

이제는 내가 할 수 있는건 다한거 같다.

마지막으로 해커랑 연락하던지,  복구 업체를 알아보는거다.

 

진짜 복구업체 3-4군데는 알아본거 같다.

 

근데, 결론은 3중 4중으로 암호화된 파일이라, 해커한테 키값을 받지않는 이상, 복호화는 불가능하다이다.

 

대부분 업체들은 해커랑 소통을 대신해주고, 수수료를 받는다고 한다.

 

근데, 해커가 돈만 먹고 먹튀하는 경우도 있는데.. 대부분 업체들은 이렇게 될 경우는 환불이 안된다고 한다.

 

어떤 업체는 후불로 복구가 안되면 안받으시겠다고 하는 업체도 있긴했다.

대신 될 경우는 다른 업체보다 비용이 비싸긴했다.

 

어쨌든 여기까지 알아보고....

우리가 내린 결론은 그냥 새로 PC 세팅하고, 다시 설치하고, 다시 입력하자였다.

 

그나마 1년치만 했으면 됬으니까.......  라고 생각했다.

 

프로그램 재설치하고 회계팀에서 입력을 하려고 보니.... 머가 다 새로 생성되서 꼬여있다더라...

 

아......회계쪽은 잘 모르니..생략~ 어쨌든, 사람이 할 수 있는 정리가 아니라는거다...

 

그래서.... 결국 복구업체를 이용해보자였다.

 

해커랑 직접연락해도 비트코인은 비용처리가 안되니..... 결국 업체를 통해서 작업해야된다가 결론이다.

 

근데, 업체랑 작업전에, 해커랑 이야기를 해보고, 비용이 얼마가 되는지 확인해 보고 싶어서,

 

해커 메일주소를 다시 확인해 보았다.

 

 

오버일수도 있는데, 해커랑 소통하는데, 내 개인메일이나, 회사메일로 소통하고 싶지 않았다.

 

그래서, 나도 해커랑 같은 메일 서비스 업체를 써야겠다 생각이 들어서, 

 

확인해보니, 해커가 사용하는 메일 서비스가, cock.li  , tutanota.com 인데, 

둘다 보안이 강화된 메일업체인거 같더라..

cock.li 좀 이상하고, tutanota.com을 가입하려고 몇번을 시도헀는데,

 

ip가 자주 시도되서, 내 Ip로는 계정을 만들수 없다는 창이 뜨더라..

 

그래서, 다른 ip로 접속해서 다시 생성하려는데, 똑같은 메세지가 뜨더라..

 

아무래도 한국쪽 또는 아시아쪽 ip는 다 막아놓은거 같더라.

 

그래서 tutanota.com 이랑 양대 산맥이라는 protonMail로 계정을 새로 팠다.

 

그리고 이메일 주소는 플리즈세이브미말록스 이런 이름으로 만들었다.

 

아마 불쌍해서라도 깍아줄까하고~ ㅎㅎ

 

이메일은 몇번 왔다갔다 했고..... 이메일을 다 캡쳐하면, 

 

나중에 해커가 검색해서 들어와서, 번역기 돌려서 내 블로그 보고, 혹시나 나 괴롭힐까봐~

(내 Personal ID를 알고 있으니...) 다는 못적겠고, 

 

첫 메일은 답장은 다 똑같이 보내는거 같다.

내용은

복구비용은 0.025비트코인이고,

테스트로 가치없는 파일(엑셀,워드,텍스트파일, 그림파일 등등등)을 보내면 테스트 해주겠다 는개소리다.

 

그리고, 밑에 있는 글씨는 메일보낼때 밑에 붙는  Tutanota에서 붙이는건데, 
"안전하고 광고 없는 메일인, Tutanota에서 보냈습니다" 같은 문구다.

이게 러시아 언어인거로 봐서는, 기본 언어 설정을 러시아어로 해놓은 해커일거다...

러시아인이 아닌수도 있다~  러시아인인척하는 해커일수도 있으니....

 

어쨌든, 티스토리에서 몇일전에 같은 mallox에 걸린분이 올린글을 봤다.

이분은 해커가 0.03 비트코인을 보내라고 했다더라..

 

내가 왜 싼지는 모르겠지만....ㅠㅠ

 

사실, 테스트 파일을 보내면, 당연히 해주겠지.. 굳이 그렇게까지는 할 필요가 없어서..

 

답장을 보낼때,

테스트파일은 필요없고, 난 ㄴㅓ를 믿는ㄷㅏ

근데, 이게 어떻게 되는거냐, 내가 비트고인보내면, 어떻게 고쳐줄거냐?

그리고, 비트코인 주소나 알려주라, 하고 보냈다.

 

 

그리고, 바로 5분안에 답장이 온거 같다.

진짜 돈벌려고 열심히 바로바로 답장하드라~

 

비트코인 주소를 보내줬고, 돈을 보내면, 다운로드 링크를 알려준다고 하더라.

 

하.......이제 여기서 부터 고민이됬다.

 

진짜 보내봐?

어떤 사람은 애들이 돈만 받고 안고쳐준다고 소문나면, 사람들이 돈을 안보낼거니까... 고쳐는 줄거같다고 하고..

근데, 고쳐진다고 해도...그게 참.... 불안하고...

 

그러다...다행히 저번달 백업파일을 하나 찾아서, 대부분 복구하기는 해서...

우리는 여기서 정리하기로 했다.

 

 

 

근데, 여기서 갑자기 의문이 든게...비트코인은 은행처럼 내 이름을 남길수없는데...

애들은 어떻게 내가 보낸건줄 알까?

 

그래서 사람 구분하려고 보내는 금액을 다르게 이야기 했을까?

갑자기 생각이 여기까지 미치자..... 해커랑 놀고싶어졌다~ㅎㅎㅎ

 

그래서, 돈 보냈다고 빨리 링크 보내달라고 메일을 보냈다.

다른 메일은 바로바로 답장보내면서, 이 메일은  답장이, 좀 늦게 왔다.

 

니 페이먼트를 볼수없다.  라고 한줄 메일이 좀 늦게 왔다.

 

아마 내가 돈 보냈다니까... 확인하고 보낸거 같다.

 

내가 보기에는, 애들이 계좌를 엄청 많이 만들어 놓고, 

엑셀에 계좌번호, 암호, 적어놓고, ID 값을 보내면, 계좌랑, 금액이랑 적어서 관리하는게 아닐까 싶다.

아마 그렇게 하고, 그 계좌들 돈을 다른데로 합칠듯...

 

그 계좌번호 관리하는 엑셀파일도 랜섬웨어나 걸려버려라....

 

 

이제 이 긴글의 끝을 내려한다...ㅠㅠ

지금까지 읽으셨다면 감사하다... 진짜 다들 지푸라기라도 잡는 심정으로 들어왔을거다.

내가 보기엔 초기에는 해커가 돈을 보내면 풀어줄거 같긴하다.

업체들 이야기 들어보면, 성공률이 좋다더라.

하지만, 복불복으로 안될수도 있다는거...

 

사실, 내가 보기에는 애들이, 금액을 산정하는게, PC의 자료양인거 같다. 

우리는 이 피씨 도입한게 1년이 안되었으니까... 

양이 적은거 같고... 큰 업체일수록 돈을 많이 요구하는거 같다.

 

그거는 ID값에 따라, 대략적으로 PC에 락건린 파일의 양을 따로 관리하는거 같다.

 

그렇지 않는 이상, 금액을 산정하기 힘들거 같고..

 

한명이 아니고, 여러명일거 같은데.. 같이 관리하기 위해서는 무언가 자기들만의 산정하는 룰이 있을거다.

 

이 램섬웨어를 뿌리고 해커들이 지금 모금하는 시기이니까~ 당장은 잘 풀어줄거 같다.

 

그리고, ID값마다 프로그램에 암호화 키캆 다르게 만들어 줄거다. 

안그럼, 한번 산사람이 프로그램 복사해서 팔테니까..

 

 

 

사실, 역으로 왜 걸렸을까를 생각해 봐야하는데...

우리는 걸리기 전날 회계프로그램 회사에서 원격지원을 받았다.

 

그리고, 다른블로그에서 알게된분도 회계PC고, 전날 원격지원을 받았다고 했다.

 

내가 보기에는 회계 프로그램 세팅할때, 열어놓는 포트가 있고, 공유기에도 포트포워딩을 해놓는다.

 

아마 그 포트를 타고 들어오지 않았을까 싶다.

아니면, 원격지원 받을때 사용하는 포트를 타고 들어왔을수도 있고...

 

진짜... 나한테는 생기지 않을일이 생기니까....너무 힘들더라.

결론은 백업이다.

 

그래서 외장하드로 분리관리하면서 백업을 매번 받아놓아야겠다...

 

 

Posted by Tyson