랜섬웨어
==== 진짜로 당하지 마라 ====
취약점 체크
원격 데스크톱 연결 포트 중 열려있는 세팅을 해놓은 상태에서 비밀번호가 "0000"인 관리자 계정을 통해 원격 데스크톱 연결 -> 백신 무력화 크립토 프로그램 실행, 연결 방식은 사람이 직접 연결한 건지 아니면 봇넷으로 자동화 한 건지 불명
파일유형 .datalock
친절하게도 Programs File 폴더 아래에 있는 애들은 안바꿈 시바 VM 파일도 저기 아래에 넣을껄 괜히 다른 경로로 했다가 삽질하게 생겼네
V3 Lite를 무력화 시키거나, 직접 삭제한듯, 윈도우 디펜더가 다시 돌아가는 사이에 파일 상당수를 잠거버렸음. 그리고 윈도우 디펜더한테 적발됨.
덤으로 공유기 관리 페이지도 박살낸거 같음 (내부에 있는 포트 스캐너를 사용해서 공유기 과부하? 로 추정된다. )
공유기를 바꾸는 것도 나름 방법인가
받은 데이터 피해
-> @home 파일
-> VM 디스크 파일들. 놀랍게도 VM 서비스 자체는 돌아가고 있어서 NAS파일들은 아직까진 안전 컴터가 꺼지면 구글 쳐서 디스크 파일 복구하는법 찾아야함. ㄷㄷㄷ;;;;
필요한 조치
원격 데톱 연결 포트 바꾸기
공유기 맛간거 같으니 바꾸기, 아니면 계속 써도.. 되려나?
안쓰는 계정 정리하기... 쓸데없는 계정이 관리자 모드로 돌아가는 일만 없으면 사실 이런 참사는 안생겼을듯
