This is Ahnlab Decoy File은 무엇일까요?

얼마전부터 모든 드라이브 Root폴더(최상위)에 이상한 숨김 폴더가 생겼습니다.

 

 

 

 

 

 

머지? 바이러스인가? 란 의심을 품기 시작했습니다.

 

폴더에 들어가봤습니다.

 

 

 

 

점점 더 의심이 가더라구요.  혹시 몰라 메모장으로 열어봤습니다.

 

 

 

"This is Ahnlab Decoy File"

 

이라고 적혀있네요.

 

이제서야 안심을 해봅니다.

 

안랩 V3에서 만든 화일 같았거든요.

 

그런데 Decoy?? 유인하기 위한 화일 이라고?

 

조금 검색을 해보니 안랩(Ahnlab)에서 랜섬웨어(Ransomware) 유인하기 위한 파일 이랍니다.

 

 

 

랜섬웨어란 랜섬웨어(Ransomware)는 ‘파일을 인질로 잡아 몸값을 요구하는 소프트웨어’란 의미로, 랜섬웨어에 감염되면 사용자 컴퓨터에 저장된 문서, 그림 파일 등에 암호가 걸려 해당 자료들을 열지 못하게 됩니다. 랜섬웨어가 왜 위협적인가 랜섬웨어로부터 입는 가장 큰 피해는 데이터를 사용할 수 없게 된다는 것입니다. 백신으로 랜섬웨어 악성코드를 제거해도 암호화된 파일은 복구하기가 어렵습니다. 왜냐하면 암호화된 파일을 복원하기 위해서 암호 해독키가 필요한데 대부분 공격자의 서버에 저장되어 있기 때문입니다. 또한 피해자가 공격자의 요구에 따라 대가를 지불해도 파일 복구가 된다는 보장이 없습니다. 특히 최근 랜섬웨어 공격은 백신 프로그램을 우회하기 위해서 다양한 신∙변종 악성코드를 활용하는 지능형 위협 공격의 양상을 띠고 있습니다.   디코이 진단이란? Root 폴더 내, 임의의 파일을 랜덤하게 생성한 후 랜섬웨어 악성코드가 접근하는 것을 탐지 차단 합니다.

랜섬웨어가 화일 변조하기 위해 미끼화일(Decoy File)을 수정하려 하면 그 화일로 인해 감지하여 랜섬웨어를 차단한다고 합니다.

 

폴더명 앞에 특수기호(%, $, !, @ 등)를 붙여 만든데요.

랜섬웨어의 특징이 암호화를 최대한 빠르게 시키기 위해서 사용자PC의 최상위 경로 부터 암호화를 진행한다고 합니다.

그렇기에 각 드라이브의 최상위에 만들어놨다고 하네요.

 

 갑자기 이런 폴더가 생기고 하니 너무 놀랬습니다.

 

숨김파일을 보기 안해놨으면 몰랐을텐데~

 

숨김파일을 항상 보기로 해놓으니~ 오늘도 하나를 배워가네요~

* 폴더생성 해제법 *

 

 

V3 Lite, V3 Internet Security 9.0 설정 방법은 동일합니다.

환경설정에서 " 행위 기반 진단 사용 " 옵션을 OFF 하면 됩니다.

하지만, 저는 권장해드리지 않습니다. 저렇게 하면 랜섬웨어 탐지를 안하기 때문입니다.

정말 V3에서 만들었는지 확인해보고 싶으신분만 해보세요~

C드라이브에 숨김 폴더가 있습니다.

환경 설정에 가면 "행위 기반 진단 사용"을 체크해제합니다.

해제하려고 하니 경고가 뜹니다.

관련 기능들 (클라우드 평판 기반 실행차단, 유해 사이트 차단, Active Defense, 분석보고서) 

많은 기능들이 꺼진다고 하네요.

"예"를 누릅니다.

이제 "적용"을 눌러 적용 시켜 봅시다.

다시 C드라이브로 들어가서 폴더 있는지 확인해봅니다.

 

아까 있던 폴더가 사라졌군요.

기능을 끄니 사라집니다.

역시 폴더 V3에서 모니터링을 위해 만든게 맞다고 보시면 되겠죠?