오토바이 퀵기사, 일부러(?)랜섬웨어 감염되어본 후기

• 주의
  작정하고 덤비면 털리는 게 당연하다.
  해커는 그게 일이자 취미인데 반해 평면들은 그렇지 않기 때문에 상대가 작정하고 나를 타겟으로 찍으면 설령 내가 컴퓨터 전문가라 해도 보안이 업이 아닌 한 시간문제이지 언젠가는 당함.
  우리들 대부분은 그들이 타겟으로 특정할 만한 위치에 있지 않기 때문에 그냥 얻어걸리는 수준이지만
  만약 당신이 정말로 중요한 뭔가가 컴퓨터에 있다면 돈받고 그것만 관리하는 전문가를 고용해라.
  랜섬웨어에 걸리게 된 과정
  난 여러 글에서 컴퓨터라면 자칭 전문가 라는 소리를 했는데
  특히 이 글에서는 HTS를 예로 들면서해커 아니라 해커 할배라도불가 라는 말을 했다.
  저 부분은 운영체제 원리상 A 프로세서가 B 프로세서의 메모리를 읽을 수 없다는 의미로 여전히 맞는 말이지만
  랜섬웨어는 주 타겟이 데이타파일이지 메모리가 아니다.
  하여튼...
  요즘 구글 검색이 완전히 난장판이 되어 있는데 예를 들어 이런 거.
  
  아님 이런 거.
  
  또.
  
  많이들 본 것이지?
  중요도가 낮은 키워드에서 구글검색은 지금 완전히 자동생성문서와 바이러스에 점령당했다.
  구글이 블리자드 꼴 나겠구나...하는 생각을 하면서 이걸 일반계정으로 실행했을 때 해커할배가 와도 안 된다는 걸 증명해 블로그에 올리자... 뭐 그래서 일부러 다운받아 실행해보게 된 것.
  
  물론 랜섬웨어란 생각은 꿈에도 안 했고 또 뭔가 길게 고민하지 않았다. 왜?
  난 윈도우를 일반 사용자 계정으로 쓴 지가 오래되었고
  나름대로 컴퓨터에 대해서 만큼은 자만심 쩌는 놈이라 이게 어떤 해킹 프로그램이든 니가 root가 아닌데 할 수 있는 건 함 해봐라. 난 그걸 블로그에 올리겠다하는...
  랜섬웨어자체가 한참 유행이 지난 거 아니었나?
  그리고 뭔가 어디 일부러 찾아간 것도 아니고 그냥 구글검색 1페이지 리다이렉트에서 바로 랜섬웨어를 받을 수 있으리라곤...
  구글 정신챙겨라...
  게임의 성격 같은 문제와는 별개로 시스템 관리 측면만 보자면 리니지의 NC 가 블리자드보다 나은데
  지금 구글 검색도(영어 말고 한글) 시스템 관리 측면에서는 네이버에 뒤질 확률 있다. 영어검색이든 한글 검색이든 DB 차이가 있다 뿐이지 프로그래밍 로직 자체는 동일하니까 결국 구글 검색엔진 설계에 문제 있다는 소리
  
  하여튼 이걸 다운받아 스무스하게 실행하면
  랜섬웨어 증상
  
  
  바로 관리자비번 입력하라는 보안창이 무한으로 뜨면서...난 관리자계정이 아니라서 다행이지 관리자계정이었으면 지금 이 글도 못 쓰고 PC방 가서 윈도우 설치 USB 만들고 있을 것 ㅋㅋ.
  백그라운드로 pdf, js, cs, jpg 등 문서/그림/프로그래밍 소스... 파일을 찾아다니며 권한이 허용되는 건 다 암호화를 시작하는데
  
  한 10분 정도 지켜본 것 같은데 내 계정 디렉토리는 뭐 털리는 게 당연하지만
  c:\AMD 가 털리는 걸 보며 뭔가 문제있다. 판단하고 전원 끔.
  지금 와서 하는 말이지만 c:\AMD 도 그렇고 설치시 일반계정이어도 수정이 가능하게 권한설정이 되어 있는 게 여럿 있었네....결론적으로 관리자 권한이 털린 게 아니지만 당시는 C 루트를 이게 건드릴 수 있다고??하면서 멘붕와서 일단 전원 끔.
  내가 걸린 게 랜섬웨어 어떤 변종인지는 모르겠지만
  보통 해킹프로그램이란 게 루트권한을 쥐게 되면 이 그림처럼 자기가 지금 하고 있는 짓을 사람이 찾아볼 수도 없게 만든다.
  
  이건 루트권한이 아니니까 10분 쯤 지켜보는데 AMD 폴더는...메인보드 드라이버이고 아마도 당연히 관리자만 수정이 가능할텐데 이게 어케 된 거냐 하면서 항복한 것.
  
  안전모드로 부팅해보니
  
  시작프로그램에 해킹 프로그램 등록
  바탕화면 교체.
  파일 수천개 암호화.
  
  피해는 이 정도인데 예전에 구글드라이브에 백업해 둔 걸로 일부 복구했지만 최근에 한 것 중 일부는 그냥 날렸네.
  다행이다.
  최근 2달간은 자동매매 프로그래밍을 놀고 있었으니 그건 날린 게 없음ㅋㅋ
  그래도 혹시나 뭔가 사용자계정으로도 수정이 가능한 어떤 실행파일에 잠복되어 있을까해서...며칠 지켜보면서 백업 프로그램 깔고 어쩌고 함
  아직 근자감은 남아서 저 그림처럼 검색된 파일만 날렸지 새로운 조치는 없다.
  근데 해킹으로 밥먹고 사는 놈들이 만든 건데 비록 전문가라지만 틀딱딸배인 내가 상상하지 못한 부분이 더 있을 수 있다는 가정은 하고 있는 상태.
  뭔가 트로이처럼 잠복하고 있다가 발동되면 여기 다시 올릴 것.
  니가 root가 아닌데 할 수 있는 건 함 해봐라. 난 그걸 블로그에 올리겠다하는...근자감은 끝까지 갖고 간다.
• 요약

  윈도우를 관리자계정으로 쓰지 마라

  진지하게 배달대행, 퀵서비스, 기타 물류 프로그램에서 지지기를 이해하기 위한 기술적 배경(운영체제 원리에 따른) 을 읽은 사람이라면 50대 딸배가 랜섬웨어를 지발로 설치해놓고도 컴퓨터를 완전 장악당하지 않았다는 것에 놀라지는 않을 것.

  백신 프로그램 어쩌고 끙끙대지 마라. 그 어떤 백신도 새로운 변종에는 속수무책이고 패치가 나오기까지는 희생자가 있기 마련.

  중요 데이타의 권한을 수정해라

  윈도우 디폴트는 일반 사용자계정으로
  c:\users\계정아이디 하부에 만든 건 다른 계정으로 건드릴 수 없으나 다른 곳에 만든 데이타는 또 다른 사용자도 건드릴 수 있게 되어 있다.
  나 포함 아마도 많은 사람들이 이게 귀찮아서 C/D 등 드라이브 루트에 임의의 폴더를 만들기도 하고 다른 사용자 폴더의 권한을 없애기도 할텐데 그렇게 쓰려면 반드시

  아래 방법처럼 권한을 수정해라.

  백업하는 습관

  습관이 귀찮으면 프로그램을 써라. 자기 컴퓨터가 아닌 곳에 하는 백업.
• 배경지식을 잠깐만
  관리자와 관리자 그룹, 사용자계정
  진정한 관리자는 Administrator이며 이건 윈도우 커널에서 할당한 것이라 아이디를 수정할 수 없고 디폴트로 비활성화되어 있다.
  리눅스의 root 와 같은 계정.
  이 외 임의의 계정을 만들고 다음처럼 관리자로 변경하게 되면 그건 관리자 그룹에 소속된 일반계정이 되는데... 한 부장이나 과장 정도?
  
  한 20년 전에 리눅스를 쓸 때...
  rwx/rwx/rwx 3 종류가 나오는데 두번째가 소유주가 속한 그룹이고
  일반적으로 아는 chmod 755 같은 게 아니라 SetUID, SetGID 라고 해서 chmod 2755 처럼 4자리로 하면 이 파일을 누군가 실행했을 때 그 누군가는 이 파일의 그룹에 소속된 것과 같은 권한을 가짐.(실행할 동안 같은 권한을 가지고 종료하면 다시 원래 사용자로)
  리눅스를 root 로 쓰는 사람은 잘 없지만 모르고 root 로 아무거나 설치하다가 해킹당했을 때 가장 광범위하게 나타나는 게 이 SetUID 비트 설정이다.
  SetUID 가 실행파일에 걸리면 그 파일을 어떤 계정으로 실행하든 그 파일의 원래 소유주 권한으로 실행하게 되니까... root 로 깔긴 했지만 그 이후 일반계정으로 논다고 안심하다가... 이 해킹파일을 딱 실행하게 되면 그냥 루트권한이 털리게 되는 것.
  리눅스 하는 사람은 SetUID/SetGID 체크를 시스템 전반에 대고 가끔 해라. 이것만 해도 반은 먹고 들어감.
  자... 윈도우에 관한 정확한 설명은 아니지만(내가 모른다. 찾아보기 귀찮)
  일반 계정을 마치 관리자처럼 만들면
  윈도우는 그 계정으로 로그인할 때 최초의 쉘을 SetGID 비트가 설정된 쉘로 띄운다는 말이 되겠고 윈도우의 시스템 설정 관련 실행파일의 상당수는 754 설정이 되어 있고 따라서 관리자그룹이니까 실행이 가능한 구조라는 것이지 진짜 Administrator 와는 다르다는 말이며 화면상으로 보면
  Administrators( 잘 보면 S 가 붙었고 이는 관리자가 아니라 관리자 그룹을 의미)로 나온다.
  관리자 그룹도 아니고 진짜 까까머리 일반계정으로 윈도우를 하게 되면 제한사항이 너무도 많다. 심심하면 비번입력하라...
  따라서 이런 귀찮음을 줄이고자 MS 에서는
  Authenticated User 라고 정상적 일반계정에 대해서도 제법 높은 수준의 권한이 디폴트로 설정되어 있는데 자신이 직접 컨트롤하는 중요 데이타에는 다~ 필요없고
  Administrator
  계정 사용자 아이디
  딱 2개만 있으면 된다.
  나머진 다 날려버려.
  랜섬웨어 암호화는 풀 수 없다.
  물론 해커가 제대로 했을 경우
  개인키/공개키/해시... 이거 비트코인에서 많이 듣던 소리지?
  비트코인이 사기라고 그렇게 까대고 여러번의 사고가 있었지만 암호화 자체가 털려서 문제가 된 적은 한 번도 없다.
  비트코인 시총이 얼마지? 모르겠다...그 시총의 1%만 먹어도 조단위의 돈일텐데 그런 큰 돈이 걸려 있는 판에 해킹으로 껌 좀 씹는다는 놈 다 붙어도 10년이 넘도록 아무도 못 깸.
  
  랜섬웨어도 같은 원리라 키가 없으면 못 품.
  괜히 엉뚱한 데 돈 쓰고 검색하고 하지마라. 다 못 풀면서 돈만 받고 튀는 사기.
  이걸 풀 수 있으면 랜섬웨어 아니라 비트코인을 해킹하지 그러고 있겠냐고.
  운영체제의 설계도 쉽게 털리는 게 아니다.
  도스 이후...30년 쯤 되었나...
  메모리가 커널영역 : 사용자영역 으로 딱 나눠지고
  커널이 최초로 생성하는 init 프로세서의 자식으로 그 후 모든 사용자 프로세서는 사용자영역 안에 갖힌 독방의 죄수가 되는 설계(지지기 원리 설명하는 내 글에 나와있다)
  이 설계야말로 가장 강력한 백신이다.
  이건 리눅스나 윈도우에서 중대한 커널버그시에만 뚫을 수 있는 건데 기초설계가 30년 동안 그대로 이어져 온 것이라 확률 낮은 일임.
  난 안랩 같은 류를 혐오하는데... 윈도우 관련 보안프로그램들이 이 운영체제의 설계를 뒷전으로 밀어내고 마치 윈도우나 리눅스 개발자보다 나를 믿어라 하는 듯 설치며 선동하고 관공서 납품해서 세금뜯고 상장도 하고 정치도 하고...
  유명한 백신은 모두 설치시 관리자모드를 요구하고 백그라운드로 관리자권한을 갖고 돌아간다.
  리눅스처럼 소스가 공개되어서 다수의 개발자로부터 검증도 거치지 않은, 닫힌 그들만의 공간에서 일개 회사가 만든 그 백신이 버그를 가지면??
  버그 아니라 개발자 중 누군가 악의라도 가지면?
  
  백신을 많이 깔면 깔수록 잠재적인 해킹프로그램이 되는 것이다 그게.
• 권한 바꾸는 방법
  꼭 필요한 것만 남기기
  다시 말하지만 시스템 전반이 아니라 자기가 직접 컨트롤하는 중요 데이타 만 손대라.
  그 폴더/디스크에는
  Administrator
  계정 사용자 아이디
  딱 2개만 있으면 된다고 했으므로 나머지를 날린다. 날리는데
  
  우리가 매일 쓰는 데이타는 이렇게 설정하면 안 된다.
  맨날 귀찮게 비번 입력하고 어쩌고 하려고? 컴퓨터는 편하려고 쓰는 거지 혈압올리려고 쓰는 게 아님.
  즉 맨날 쓰는 건 당할 수도 있다는 가정을 하고 쓰는 것이고 일정 주기마다 이걸 백업해놓고
  다 털리더라도 백업한 것만은 털리지 않게 하자는 게 요점.
  백업할 때만 관리자권한으로 한다.
  이게 귀찮으니까 정기적으로 백업하는 관리자권한의 스케줄러등록 또는 프로그램을 쓰는데 뭘 쓰든 위 영상의 방법으로 아래 그림처럼 D:\BackUp 라는 디렉토리를 이런식으로 설정해버리면
  
  
  당신이 평소 윈도우를 일반계정으로 쓰는 한
  해커 아니라 해커 할배가 와도 이건 못 건드림.
• 딸배판 웃기는 점
  술 안 먹는 딸배는 오늘 대박인데??
  술도 안 먹고 나처럼 이런 뻘글도 안 쓰고....예쁜 여친은 당연히 없을테니 패스고....그러면 오늘 같은 날 빨랑 일어나 오더 빼라!!!
  어린이날 시작으로 3일 연휴인데도 비 + 바람이라 지금 인성퀵 오더창 보니까 평일 수준보다 더 많은 것 같은데?(물론 노지지기 퀵사 1개인 내 눈에 보이는 오더 기준)
  그러거나 말거나 난 어제부터 소주 빨간딱지로 640ml 2병 먹었고
  이 글 쓰고난 뒤 또 소주사러 갈랜다.
  
  콜은 김씨가 빼
  생각보다 일하는 사람 많다.
  택배 상하차 해보면 돈 10몇만원 벌겠다고 대구에서 관광차 타고 옥천CJ 를 올라오는 사람 겁나 많고
  야간 일대를 해보면 기름값도 안 나올 것 같은데도 차끌고 딸배 뛰는 사람 많다.
  쿠팡허브에 가면 언뜻 그냥 주차된 차량 같지만 실제로는 500원,천원짜리 택배하겠다고 줄서며 거기서 자는 사람임.
  
  당신만 어려운 거 아니다.
  세상 구석구석 힘든 자들이 너무나 많으니 내가 맘이 아파서 일은 못 하겠고 그들을 위로하며 술이나 먹어야겠다.
  그러니 오토바이는 네가 타렴
  오토바이 퀵도 이런 날을 오히려 좋아하는 사람 많고 일부는 차로도 한다.
  참고로 화물차는 영업용 넘버가 있어야 하지만 승용차는 보험만 약관위반일 뿐 자가용 넘버로 해도 불법이 아니다. 승용차가 사람을 태울 때만 불법임. 법 참 골때리지 ㅋㅋ
  퀵 안 해본 일반인은 이런 날이나 새벽 4시 급송은 평소보다 요금 2배...뭐 이렇게 될 것 같지만 그렇게 안 되는 이유.
  새벽에 오더창 켜봐라. 요금 좋으면 금방 빠짐.