전국민 PC 긴급 안전수칙 발표
- 좀비PC, 하드디스크 손상 명령 하달돼 파괴 시작
- 정부기관 및 안철수연구소 공동 비상대응대책반 운영
디도스 악성코드에 감염된 좀비PC의 하드디스크 파괴가 본격 시작됨에 따라 컴퓨터를 켤 때 반드시 안전모드에서 부팅해야 한다.
방송통신위원회(위원장 최시중)는 안철수연구소(대표 김홍선)에서 확보한 샘플을 바탕으로 KISA(한국인터넷진흥원)와 안철수연구소가 공동 분석한 결과, 이미 감염된 악성코드가 원격조종지(C&C서버)로부터 새로운 명령 기능을 하달해 좀비PC의 하드디스크 파괴를 수행하는 것으로 나타났다고 밝혔다.
이에 따라 전국민들은 꺼져있는 PC를 다시 켤 때는 반드시 안전모드로 부팅하여 디도스 전용백신을 다운로드받아 안전한 상태에서 PC를 사용해야 한다는 ‘긴급 전국민PC 안전수칙’을 발표했다. 현재로는 디도스 악성코드에 감염된 좀비PC의 경우 안전모드 부팅에 의한 긴급 처방 이외는 PC 하드디스크 파괴에 대해 별도의 대책이 없는 상태이다.
이번 하드디스크 파괴 증상은 원격조종지로부터 명령을 받고 일정 기간이 지난 후에 동작했던 2009년 7.7 디도스 대란과는 달리, 명령을 받는 즉시 동작하도록 설정이 되어 있다. 하드디스크 파괴 명령이 하달되면 먼저 A~Z까지 모든 드라이브를 검색하여 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다. 그리고, A~Z까지 모든 고정 드라이브를 검색하여 시작부터 일정 크기만큼을 0으로 채워 하드디스크를 손상시켜 아예 컴퓨터 작동이 되지 않게 된다.
이번 하드디스크 파괴 명령 해독과 관련하여 방통위 국정원 등 국가기관과 안철수연구소는 공동으로 밤샘 분석작업을 진행했다. KISA와 안철수연구소는 국가사이버안전센터와 긴밀한 공조하에 새로 활동 중인 원격조종(C&C)서버의 특정 인터넷주소(IP)를 수집하여 600여 IP를 차단했다.
지금까지 명령을 받아오는 600 여개 IP를 찾아서 긴급 차단하였지만 미처 발견하지 못한 경유지로부터 새로운 악성프로그램을 내려받을 수도 있는 긴박한 상황이다. 따라서, 오늘부터 컴퓨터를 새로 켜는 국민들의 PC 하드디스크 파괴 피해를 방지하기 위해 ‘전국민 PC 긴급안전수칙’을 발표하게 됐다. 이번 디도스 공격에 따라 긴급 구성된 비상대책반은 아직도 좀비PC가 상당수 예상됨에 따라 이번 안전수칙에 따라줄 것을 당부했다.
<긴급 PC안전수칙>
1) PC가 꺼진 상태에서 켜는 경우 우선 네트워크 연결선(LAN)을 뽑는다.
2) PC를 켜서 F8을 눌러 (네트워크 가능한) 안전모드를 선택하여 부팅한다. 일부 시스템에서 F8로 안전모드 부팅이 안될 경우에 F5를 누른 후 F8을 누른다.
3) 안전모드로 부팅에 성공을 확인한 후 네트워크 연결선을 재연결한다. 안철수연구소(http://www.ahnlab.com//kr/site/html/ddos/ddos_notice.html, http://asec001.v3webhard.com/ddos_notice.html) 또는 보호나라(www.bohonara.or.kr)에 접속하여 디도스 전용백신을 다운로드한다.
4) 디도스 전용 백신으로 악성코드를 치료한 후 PC를 재부팅한다.
<PC 안전수칙 상세 가이드>
1. PC를 안전모드(네트워킹 사용)로 부팅.
안전모드 부팅하는 방법은 PC 부팅한 후 F8 키를 연속적으로(0.5초 간격으로 탁!탁!탁! 누름) 누르시면 아래 그림과 같이 “Windows 고급 옵션 메뉴 (일부 시스템에서 F8로 안전모드 부팅이 안될 경우에 F5를 누른 후 F8)” 화면으로 넘어가게 됩니다. 일부 시스템에서 F8로 안전모드 부팅이 안될 경우에 F5를 누른 후 F8을 누릅니다.A. 윈도 2000 의 경우 – 안전모드(네트워크 드라이버 사용) 선택
B. 윈도 XP (Vista,Win 7,2003,2008서버 공통)의 경우 – 안전모드(네트워킹 사용) 선택2. 최신 전용백신 다운로드 및 실행
A. 안철수연구소 홈페이지(http://www.ahnlab.com) 접속
i. 메인 팝업창에서 ‘전용백신 다운로드 받기’ 클릭B. 보호나라 홈페이지 (http://www.boho.or.kr) 접속
i. 메인 팝업창에서 ‘안철수연구소 전용백신 다운로드’ 클릭3. 전용백신 실행 후 ‘검사’ 클릭
안철수연구소 홈페이지 전용백신
보호나라 홈페이지 안철수연구소 전용백신
4. 악성코드 발견시 치료 수행 (미 발견시 5번항목으로 이동)
A. 안철수연구소 홈페이지 전용백신
i. 악성코드 발견ii. 전체치료 클릭
iii.‘재부팅 하시겠습니까’ 예(Y) 선택시 치료와 동시에 재부팅 진행
B. 보호나라 홈페이지 안철수연구소 전용백신
i. 악성코드 발견
ii. 악성코드 치료
5. 검사 완료되면 ‘종료’ 클릭 후 PC 재부팅
※ V3 사용자께서는 V3를 최신버전으로 업데이트 후 실시간 감시를 꼭 켜 두십시오.
<하드디스크가 손상된 PC 부팅시 초기 화면>
<하드디스크 손상 전>
<하드디스크 손상 후>
<doc 파일 손상 전>
<doc 파일 손상 후>
- 이번 DDoS 전용백신의 원활한 공급을 위해 두 곳에서 조치 가이드를 드리고 있습니다
1. http://www.ahnlab.com//kr/site/html/ddos/ddos_notice.html
2. http://asec001.v3webhard.com/ddos_notice.html
'AhnLab News' 카테고리의 다른 글
2011.03.07 안철수연구소, “3.4 디도스 공격, 7.7 대란의 업그레이드판” (0) | 2020.04.05 |
---|---|
2011.03.06 디도스 공격 악성코드 하드디스크 파괴 방지 상세 가이드 (0) | 2020.04.05 |
2011.03.06 외신에 비친 디도스 사태와 안철수연구소 (0) | 2020.04.05 |
2011.03.05 안철수연구소, 디도스 악성코드 PC 손상 경보 (0) | 2020.04.05 |
2011.03.04 안철수연구소, 국정원 · 방통위와 신속한 사전 대처로 디도스 공격 차단 (0) | 2020.04.05 |