안녕하세요 1인으로 전산실 운영하는 사원입니다!
저희가 웹하드 NAS를 운용하고 있는데 어느순간 부터 한글파일 몇개가 텍스트 문서 종류라고 뜨면서 유니코드 선택하라는데 아예 복원이 안되더라구요
일단 백업한 파일이 있어서 이상이 생기기 전 백업 파일을 전달하고 있는데 이게 혹시 랜섬웨어에 걸린걸까요??
현재는 한글 파일만 해당되는거 같고 파일명이나 확장자가 바뀌지는 않습니다.
아니면 사용자가 어떠한 행동때문에 파일이 깨진거라고 볼수 있는걸까요??(그렇다기엔 뭔가 최근에 연속으로 생겨서 랜섬웨어가 의심이 되긴합니다)
선배님들 혹시 저런 상황을 겪어보셨거나 의심되는게 있을까요?
조언 부탁드리겠습니다!
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
9개의 답변이 있습니다.
전체 디스크를 재 포멧 하시기 바랍니다, 일부만 하면 또 동일 현상이 발생 할것 같습니다, 바이러스나 백도어 의심
여러 답변 정말 감사합니다
저 글 작성이후 다른 업무때문에 바빠서 확인을 못하다가 이제서야 확인을 했네요!
늦어진 점 정말 죄송합니다.
일단 다들 말씀해주신 것처럼 파일의 확장자가 변하지 않았고 단순히 일반 파일에서 저런 현상이 나타나고 랜섬 노트가 없는점으로 미루어봤을 때 랜섬웨어가 걸린확률은 낮다고 판단이 됩니다.
답변 남겨주신 것중에 실제 사용자의 정상적이지 않은 저장방법 등의 의해 변형 및 깨짐이 발생된걸로 현재 생각하고 있으며 다행이 매일매일 백업중이라 현재는 백업된 파일을 제공하고 있습니다.
좀 더 상황을 지켜보고 확인해봐야할 것 같습니다 답변 남겨주신 선배님들 정말 감사합니다.
이런 경우가 여러 차례 있었는데, 해결 방법이라고 한다면 ... 정확하게 이렇게 하세요. 라고 개인적으로 해답은 없습니다. 각기 다른 상황 속에서 여러가지를 역추척하며 PC 환경, 한글 환경 등을 체크하는데... 당사자는 평소와 다르지 않았다고 하니 ... 이런 경우 최악의 경우는 파일 작성을 다시 해야하거나 운이 좋아 백업이 되어 있다면 다행인 상황입니다.
한컴에 문의해도,우선 환경 체크하고 한글 업데이트하고 파일을 복구하는 경우는 없었습니다.
확신은 아니지만 랜섬웨어는 아니라는 생각이 드는 건 아주 오래 전 부터 한글을 사용하는 기관에서 일하는 사람이라면 한 번쯤은 겪어봤을 것이라는 것입니다. 랜섬웨어가 유행하기 전 부터~~~
이런경우, 확률상으로 파일이 저장단계에서 손상되었거나 인식하지 못하는 상황에서 어떤 영향을 받았을 가능성도 있습니다. 예를 들어 디스크 및 USB 오류, 소프트웨어 버그 등등
그리고, 의도치 않게 파일을 수정하거나 다른 형식으로 저장하면 특정 응용 프로그램에서 해당 파일을 읽을 수 없게 될 수 있습니다. 최근 사용자의 변경 사항이나 작업이 영향을 미쳤는지 역 추적해서 확인해보세요.
또 하나는 유니코드 선택에 대한 메시지는 인코딩 또는 언어 설정에 문제가 있을 수 있습니다. 시스템이 한국어를 올바르게 처리하도록 구성되어 있는지 확인이 필요합니다.
다른 문서 화일 인데 확장자 변경된게 아닐련지? 아니면 화일이 깨졌거나.. 랜섬웨어는 아닌 듯 합니다..
우선 해당 파일 확장자가 변경되지는 않았는 지 먼저 보시는 게 좋을 것 같습니다.
확장자 변경이 되었다면 랜섬웨어 또는 악성코드 감염도 고려해야하기 때문에 정상 확장자 인지가
우선 확인 필요 한 것 같습니다.
한글에서 텍스트 문서 종류 뜨는 이유가 보통 파일이 암호화 되어있을때, 문자코드가 이상할 때,
파일이 깨졌을 때 발생하는데 문자코드 이상이면 문제 없겠지만
파일 암호화라면 랜섬웨어 시작시점으로 암호화가 진행되고 있는 걸수도 있습니다.
아니면 해당 파일 또는 회사의 파일 암호화/복호화 솔루션에서 암호화 작업한 파일일 수도 있구요
파일이 깨졌다면...복구는 어려울 듯 싶구요 !
랜섬웨어, 바이러스에 의해 발생할 수도 있지만
특정확장자만 그렇다면 랜섬웨어 가능성은 낮아보입니다.
유니코드 선택하라고 나온다면 언어 관련된 문제로 국가, 언어 설정 부분 체크해보시구요.
NAS라면 여러사람이 동일문서를 사용했을텐데요.
사내 DRM 문서 보안 제품 운영중이시라면 DRM 솔루션 체크도 해보세요.
보통 파일이 정상적이지 않을 때 나오는 메시지 입니다.
랜섬웨어가 감염되어 실제 확장자가 아닌 다른 확장자로 변환되어 있거나
파일이 깨졌거나 하는 의심이 듭니다.
확인해보시기 바랍니다.
랜섬웨어로 인해 암호화 되었을 수도 있지만...
해당 파일에 어떤 오류로 인해 손상이 생겼을 수도 있습니다.
랜섬웨어에 감염되었다면 특정 파일만 문제가 생기지 않았을 것이고... 대부분의 문서, 이미지 파일에 비슷한 문제가 생겼을 것입니다.
그리고, 랜섬웨어는 랜섬 노트가 잘 보이는 곳에 저장되어 있어 복구를 위해 무엇을 하라는 지시 사항들이 기록되어 있기 마련이고요.
디스크 오류로 인한 파일의 손상일 경우에도 여러 파일들에 비슷한 문제가 발생할 수 있는데...
랜섬웨어와 디스크 오류의 가장 큰 차이는... 랜섬웨어는 파일 손상 ( 암호화 ) 일정 패턴 ( 동일한 방식 )이 적용되어 손상되어 있고, 디스크 손상은 불규칙적인 특성이 있겠고요.
무엇보다도 랜섬웨어는 랜섬노트 파일이 있다는게 가장 큰 특징이 되겠고...
랜섬웨어 중에는 파일명, 확장자를 변경하지 않는 랜섬웨어도 있기 때문에 랜섬웨어가 맞다, 아니다라고 단정하기는 어렵습니다.
언급한 내용과 첨부한 파일만 가지고는 단정하기는 어렵지만... 랜섬웨어가 아닐 가능성이 좀 더 높지 않을까 하는 느낌이 드네요.
문제되는 부분을 해결이 우선이니
NAS 스토리지에 데이터를 백업을 우선하시고
내부 네트워크 구성에 있어 랜섬웨어가 안걸릴수 있도록 환경( NAC , IPS )조치가 필요해 보입니다.
그리고 나서 NAS 다시 재구성하고 패치를 하면 될것 같습니다.