본문바로가기

랜섬웨어 피해사례

피해 사례
예방 사례

홈 > 커뮤니티 > 피해 사례

피해 사례

[회사] pysnmp 예제 좀 보려다가..!

2020-09-14 13:42:08

       

• 감염일 : ​2020년 9월 3일

 

 

• 감염경위 : ​web.stanford.edu/class/physics91SI/cgi-bin/?p-10799

 

 

• 피해범위 : ​​모든 자료가 들어있는 PC

 

• 피해 랜섬웨어 : Sodinokibi ​​는 모든 폴더에 [변조된 확장자명]-readme.txt 파일을 생성합니다. 

중요한 데이터가 없다면 포맷 후 사용하시는 것을 권장드립니다.

 

 

• 랜섬웨어 요구비용 : -

 

 

• 신고자 :     업무 중 참고를 위해 구글에 'pysnmp 예제' 라고 검색했습니다.

그리고 상위에 뜨는 링크들을 탭으로 띄워서 확인하던 중 한 곳에서 링크로 받을 수 있는 파일이 존재하여 다운로드를 진행했습니다.

zip 파일을 다운받아 압축파일을 더블클릭으로 하면서 열었는데, js파일이 하나 있었습니다.

내용 확인을 위해 notepad++ 을 이용해 파일을 열어보았고 별 거 아니라고 생각하여 지나쳤습니다.

 

 

그 후 갑자기 화면에 Windows Powershell 실행 안내문구가 계속 발생하였고, '아니오'를 눌렀지만 계속해서 실행 화면이 떠있어서 어쩔 수 없이 '예'를 눌렀습니다.

'예'를 누르고 나서는 아무런 변화없이 창이 꺼지길래 하던 일을 마저 하다가, 나중에 확인해야할 파일이 있어서 폴더를 열었는데 확장자들이 이상한 걸 확인했습니다.

다른 폴더의 파일들도 확장자가 다 변해있었고, 파일 내용은 깨져있었습니다.

바탕화면 이미지도 변하고 readme파일이 있는걸 읽고나서야 랜섬웨어에 걸렸다는 것을 알게되었습니다.

랜섬웨어 경로가 위 사이트라고 생각하게 된 것은 pysnmp 예제 파일 외에는 다운받은 것이 없었기 때문입니다.

 

 

컴퓨터 포맷 후, 검색을 하던 중 동일 화면을 발견하게 되었고, 구체적인 제보를 할 수 있게 되었습니다.

원래 조회되어야 하는 화면이 있는데, 리다이렉트가 되면서 제가 파일을 받은 화면으로 이동하는것을 보았습니다.

랜섬웨어 화면을 확인하기 위해 여러차례 구글 검색화면에서 페이지를 접속해본 결과, 해당 페이지를 접속할 때마다 항상 파일 다운로드했던 화면으로 조회되는 것도 아니었습니다.