- 좀비PC, 하드디스크 손상 명령 하달돼 파괴 시작
- 정부기관 및 안철수연구소 공동 비상대응대책반 운영
디도스 악성코드에 감염된 좀비PC의 하드디스크 파괴가 본격 시작됨에 따라 컴퓨터를 켤 때 반드시 안전모드에서 부팅해야 한다.
방송통신위원회(위원장 최시중)는 안철수연구소(대표 김홍선)에서 확보한 샘플을 바탕으로 KISA(한국인터넷진흥원)와 안철수연구소가 공동 분석한 결과, 이미 감염된 악성코드가 원격조종지(C&C서버)로부터 새로운 명령 기능을 하달해 좀비PC의 하드디스크 파괴를 수행하는 것으로 나타났다고 밝혔다.
이에 따라 전국민들은 꺼져있는 PC를 다시 켤 때는 반드시 안전모드로 부팅하여 디도스 전용백신을 다운로드받아 안전한 상태에서 PC를 사용해야 한다는 ‘긴급 전국민PC 안전수칙’을 발표했다. 현재로는 디도스 악성코드에 감염된 좀비PC의 경우 안전모드 부팅에 의한 긴급 처방 이외는 PC 하드디스크 파괴에 대해 별도의 대책이 없는 상태이다.
이번 하드디스크 파괴 증상은 원격조종지로부터 명령을 받고 일정 기간이 지난 후에 동작했던 2009년 7.7 디도스 대란과는 달리, 명령을 받는 즉시 동작하도록 설정이 되어 있다. 하드디스크 파괴 명령이 하달되면 먼저 A~Z까지 모든 드라이브를 검색하여 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다. 그리고, A~Z까지 모든 고정 드라이브를 검색하여 시작부터 일정 크기만큼을 0으로 채워 하드디스크를 손상시켜 아예 컴퓨터 작동이 되지 않게 된다.
이번 하드디스크 파괴 명령 해독과 관련하여 방통위 국정원 등 국가기관과 안철수연구소는 공동으로 밤샘 분석작업을 진행했다. KISA와 안철수연구소는 국가사이버안전센터와 긴밀한 공조하에 새로 활동 중인 원격조종(C&C)서버의 특정 인터넷주소(IP)를 수집하여 600여 IP를 차단했다.
지금까지 명령을 받아오는 600 여개 IP를 찾아서 긴급 차단하였지만 미처 발견하지 못한 경유지로부터 새로운 악성프로그램을 내려받을 수도 있는 긴박한 상황이다. 따라서, 오늘부터 컴퓨터를 새로 켜는 국민들의 PC 하드디스크 파괴 피해를 방지하기 위해 ‘전국민 PC 긴급안전수칙’을 발표하게 됐다. 이번 디도스 공격에 따라 긴급 구성된 비상대책반은 아직도 좀비PC가 상당수 예상됨에 따라 이번 안전수칙에 따라줄 것을 당부했다.
<긴급 PC 안전부팅 수칙>
1) PC가 꺼진 상태에서 켜는 경우 우선 네트워크 연결선(LAN)을 뽑는다.
2) PC를 켜서 F8을 눌러 (네트워크 가능한) 안전모드를 선택하여 부팅한다. - 일부 시스템에서 F8로 안전모드 부팅이 안될 경우에 F5를 누른 후 F8을 누른다.
3) 안전모드로 부팅에 성공을 확인한 후 네트워크 연결선을 재연결한다. 안철수연구소 (http://www.ahnlab.com//kr/site/html/ddos/ddos_notice.html, http://asec001.v3webhard.com/ddos_notice.html
4) 디도스 전용 백신으로 악성코드를 치료한 후 PC를 재부팅한다.
<PC 안전수칙 상세 가이드>
1. PC를 안전모드(네트워킹 사용)로 부팅.
안전모드 부팅하는 방법은 PC 부팅한 후 F8 키를 연속적으로(0.5초 간격으로 탁!탁!탁! 누름) 누르시면 아래 그림과 같이 “Windows 고급 옵션 메뉴 (Vista,Win7은 고급부팅옵션)” 화면으로 넘어가게 됩니다. 일부 시스템에서 F8로 안전모드 부팅이 안될 경우에 F5를 누른 후 F8을 누릅니다.
A. 윈도 2000 의 경우 – 안전모드(네트워크 드라이버 사용) 선택
B. 윈도 XP (Vista,Win 7,2003,2008서버 공통)의 경우
– 안전모드(네트워킹 사용) 선택
B. 보호나라 홈페이지 (http://www.boho.or.kr) 접속
i. 메인 팝업창에서 ‘안철수연구소 전용백신 다운로드’ 클릭
3. 전용백신 실행 후 ‘검사’ 클릭
안철수연구소 홈페이지 전용백신
보호나라 홈페이지 안철수연구소 전용백신
4. 악성코드 발견시 치료 수행 (미 발견시 5번항목으로 이동)
A. 안철수연구소 홈페이지 전용백신
i. 악성코드 발견
ii. 전체치료 클릭
iii.‘재부팅 하시겠습니까’ 예(Y) 선택시 치료와 동시에 재부팅 진행
B. 보호나라 홈페이지 안철수연구소 전용백신
i. 악성코드 발견
ii. 악성코드 치료
5. 검사 완료되면 ‘종료’ 클릭 후 PC 재부팅
※ V3 사용자께서는 V3를 최신버전으로 업데이트 후
실시간 감시를 꼭 켜두십시오.
<하드디스크 손상 전>
<하드디스크 손상 후>
<doc 파일 손상 전>
<doc 파일 손상 후>
'보안라이프 > 이슈&이슈' 카테고리의 다른 글
V3 엔진 장애, PC 오류 조치 방법 긴급 안내 (0) | 2011.03.11 |
---|---|
안철수연구소, “3.4 디도스 공격, 7.7 대란의 업그레이드판” (2) | 2011.03.07 |
안철수연구소에서 전하는 디도스 총정리편~!! (13) | 2011.03.05 |
안철수연구소, 디도스 악성코드 PC 손상 경보 (1) | 2011.03.04 |
안철수연구소가 권하는 디도스 공격 대응 요령 (6) | 2011.03.04 |