2016년 6월 20일 밤, 탐색기를 사용 중 [!Iqe.(A8]이라는 이름을 지닌 숨김 속성의 특수 문자 폴더가 모든 드라이브에 생성된 것을 보았다.

 

처음엔 '아, 드디어 나도 랜섬웨어를 경험하게 된 것인가?'라는 생각이 들었고, 뒤이어 즉시 폴더 내부를 확인함과 동시에 작업 관리자를 열고 CPU와 디스크 사용률을 확인했다.

 

그러나 CPU의 사용률은 미미했으며 디스크 사용률은 없었다. [!Iqe.(A8] 폴더 내부에는 [!f46msZ8.doc], [!f46msZ8.jpg], [!f46msZ8.ppt] 파일만이 존재함을 확인할 수 있었다. 또한 휴지통에는 내가 지우지도 않은 [OMhcM.jpg]라는 파일이 있었다.

 

혹시 랜섬웨어가 아닌 다른 악성 코드는 아닐까 생각되어 시작 프로그램들을 확인했는데 역시 특이점은 없었다.

 

 

결국 의심가는 프로그램을 모두 삭제했다. 그러나 리부팅 후 [!Iqe.(A8] 폴더 및 파일들은 계속 생성이 되고 있었고, 심지어는 절전 모드 후 복귀 시에도 다시 생성됨을 확인할 수 있었다.

 

Windows를 다시 설치해야하나 고민하던 순간 머릿속에 떠오른 것은 혹시 '[백신]의 문제가 아닐까?'라는 생각이었다.

 

예전에 랜섬웨어 예방 프로그램이 가장 빠른 문자열인 !xxxxx 형태의 폴더와 파일을 생성해서 랜섬웨어가 해당 파일을 변조할 때 이를 감지하여 차단하는 방식이라는 것이 떠올랐기 때문이다.

 

개인 PC에 사용 중인 백신은 Ahnlab의 V3 Lite였는데 관련 안내 공지는 없었고, 결국 1:1 문의로 질문한 결과 다음과 같은 내용을 확인할 수 있었다.

 

안녕하십니까? AhnLab 기술상담센터입니다.

 

고객님의 문의내용은 잘 읽어보았습니다.

 

먼저, 저희 제품을 사용해 주셔서 대단히 감사드립니다. 

 

고객님께서 문의하신 내용과 관련하여 갑작스럽게 생성된 폴더로 인해 많이 놀라셨을 거라 생각됩니다.  

 

해당 폴더는 바이러스 감염에 의해 생성된 것이 아니라, V3 제품의 기능과 관련하여 6월 20일 업데이트를 통해 생성된 AhnLab 관련 파일이 맞습니다.

 

V3 제품에서는 최근 이슈가 되고 있는 랜섬웨어 바이러스 탐지를 위해 기능을 추가하였습니다.

 

랜섬웨어를 유인하여 해당 파일을 암호화하려고 접근할 때 탐지 및 차단 기능을 제공하여 감염을 예방할 수 있는 디코이 진단 기법이 추가된 것 입니다. (* 해당 파일의 생성은 시스템의 성능 및 속도 등에 영향을 미치지 않습니다.)

 

해당 폴더의 생성을 원하지 않는 경우라면, V3 제품의 [환경설정]에서 "행위기반진단 사용" 옵션을 OFF한 후, [적용]-[확인]을 클릭하면 폴더가 삭제됩니다. 

 

해당 기능과 관련하여 궁금하신 사항이 있으시다면 언제든지 재문의 부탁드립니다. 

 

그럼, 오늘도 즐거운 하루 되시길 바랍니다. 감사합니다.

 

결국 V3에서 2016년 6월 20일 적용된 새로운 업데이트로 인한 해프닝이었던 것이다.

 

관련 문의가 많았는지 지금은 다음과 같은 공지가 올라온 상태다.

 

3. 엔진(ASD 2.6.6.3) 패치 내용​

- 안랩의 V3 제품군에 랜섬웨어 탐지 강화를 위한 디코이 진단 기능이 개선되었습니다.

: 사용중인 모든 드라이브의 최상위 경로에 숨김 파일 속성으로 랜덤한 폴더 생성

: 폴더명은 랜덤하게 생성하며, 앞에 특수기호(@, $, %, ! 등) 적용

- 디코이(Decoy)는 V3 제품군에서 생성한 파일에 랜섬웨어가 암호화 하려고 접근하면 탐지하고 차단하는 기능입니다.

이 글에 남겨진 댓글은 12개 입니다.

    • 글 고맙습니다.
      저도 랜섬으로 하드 하나 고장난 후에 이파일들이 각 드라이브 루트에 생성이 되어서 랜섬웨어로 의심하고 윈도우 다시 설치하려 했었거든요.
      이글 덕분에 윈도우 재설치 피할 수 있겠네요.
      (사무실 컴 전부 어떻게 해야 하나 고민했었어요. ㅋ)

    • 저랑 같은 생각을 하셨나보네요. =)

    • 오늘하루죙일 이것때문에 3번을 밀었습니다.... 왜생기는지 도대채가...아 머리아퍼 ... 검색먼저할걸 ㅠㅠ 암튼 감사합니다..

    • (순서는 모르겠지만) 꼭 V3 아니고도 많은 백신들이 유사 기법을 적용하기 시작한 것 같습니다. ^^;;

    • 아후.. 저도 식겁했네요.. 랜덤하게 생성되니까..
      인터넷으로 검색도 안되고 참으로 난감했는데, 덕분에 해결되었습니다.. ^^
      감사합니다~!!

    • 요즘 대부분의 백신들이 이런 것 같아요. =)

    • 계속 생기는 폴더 때문에 벼르다가 오늘 윈도우 설치하려했습니다.
      혹시나 해서 검색하다가 원인을 알게 되었네요~~ㅎㅎㅎ
      감사합니다.

    • 감사합니다. 오늘 백신돌리려고 보는데 갑자기 특수문자 폴더가 숨김으로 있어서 깜놀하고 밀어야하나 했는데.. ㅋㅋ 님의 글을 보니 마음이 놓이네요 감사합니다 ^^

    • 프로필사진 스티브잡스

      2016.10.24 01:20

      하.......
      저도 이걸 몰라서 생성된 폴더와 파일의 정체를 파악하려고 별 짓을 다했는데,
      이 포스팅 덕분에 알게 됐네요;;;
      감사합니다! ㅎㅎㅎ

*

*