각 드라이브의 이상한 폴더명안에 doc,jpg,ppt 파일이 있는이유 - Ahnlab 프로그램 때문...

얼마전 SSD/HDD를 정리하다가 각 드라이브에 이상한 이름의 폴더와 그 안에 doc, jpg, ppt 파일이 들어있는것을 발견했습니다. 램드라이브로 설정해놓은 드라이브에서도 보였구요.

 

▲ 폴더는 숨김으로 처리되어있으고, 파일명은 !IqefB=D 로 되어있었으며...

 

▲ !IqefB=D 폴더 안에는 !f465Y^D 라는 doc, jpg, ppt 파일이 1KB의 용량으로 역시 숨김처리 되어 들어있었습니다.

 

평소에 탐색기 옵션이 '숨김 파일, 폴더 또는 드라이브를 표시안함'으로 되어있는 분들께서는 아마 보지 못하셨을겁니다.

 

폴더명과 파일명이 너무 특이하게 되어있어서 바이러스/악성코드 혹은 랜섬웨어에 감염된게 아닌가 싶어서, !IqefB=D 와 !f465Y^D 로 검색을 해봤으나 딱히 비슷한게 없더라구요. 

 

대체 뭔가 싶었는데, AhnLab의 AhnLab Safe Transaction 이라고 농협/KB국민카드/SC은행 등에 들어갈때 보안을 위해 설치되는 프로그램 때문이었습니다.

 

▲ KB카드 보안 프로그램 설치화면...

 

 

 

 

 

윈도우 트레이에 떳다가 사라지는 위와같은 이미지를 본적이 있으실겁니다.

 

 

http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50124060

 

[공지] V3 제품군, ASTx 엔진 패치(ASD 2.6.6.3) 관련 공지

 

날짜2016-06-21  / 조회수3032

 

 

안녕하십니까, AhnLab입니다.​

항상 저희 안랩 제품을 이용해 주시는 고객님께 감사드립니다.

 

2016년 6월 20일 배포된 엔진 패치 관련 내용을 안내 드립니다.

 

1. ASD 엔진(2.6.6.3) 배포 일시​

2016년 6월 20일 (월) 오후 2시​

 

2. 엔진 패치 대상 제품​

- 기업용 제품 : V3 IS 9.0, V3 Net 9.0, V3 ES 9.0, V3 MSS

- 개인용 제품 : V3 Lite, V3 365 클리닉​​
- 기타 제품 : AhnLab Safe Transaction

 

3. 엔진(ASD 2.6.6.3) 패치 내용​

- 안랩의 V3 제품군에 랜섬웨어 탐지 강화를 위한 디코이 진단 기능이 개선되었습니다.

​: 사용중인 모든 드라이브의 최상위 경로에 숨김 파일 속성으로 랜덤한 폴더 생성

​: 폴더명은 랜덤하게 생성하며, 앞에 특수기호(@, $, %, ! 등) 적용

​- 디코이(Decoy)는 V3 제품군에서 생성한 파일에 랜섬웨어가 암호화 하려고 접근하면 탐지하고 차단하는 기능입니다.​ 

 

​4. 엔진(ASD 2.6.6.3) 패치 방법​

- V3 제품군의 스마트 업데이트를 이용하여 최신 버전이 적용 됩니다.​

: 스마트 업데이트 방법: V3 제품군 실행- "업데이트" 클릭

 

앞으로도 고객 여러분께 유익하고 편리한 서비스 제공을 위해 지속적으로 노력하겠습니다. 

 

감사합니다. ​​ ​ 

 

▲ 안랩 사이트 공지사항을 보면, 랜섬웨어 탐지 강화를 목적으로 랜덤한 이름의 폴더가 생성된다고 되어있습니다. (AhnLab Safe Transaction 뿐만이 아니라, V3 라이트, V3 365등의 다른 안랩 프로그램들 때문에 생성되기도 한다고 합니다.)

 

doc, jpg, ppt 파일들을 클릭했다가 잘못되는게 아닌가 싶어 오픈해보지는 않았는데, 클릭해서 열어보니...

 

 

▲ doc 파일은 'This is Ahnlab Decoy File.' 이라고 나왔고,

 

▲ jpg 파일은 정상적으로 열리지 않았으며...

 

 

▲ ppt 또한 열수없다는 팝업이 떴습니다.

 

 

 

이 폴더/파일명이 랜섬웨어에 걸리는것을 방지하기 위해서 AhnLab 프로그램에서 생성되는 정상적인 파일들이라서 굳이 삭제할필요는 없어보입니다. 하지만 그럼에도 불구하고 계속 눈에 거슬려 폴더/파일명을 안보고 싶으시다면....

 

1. 제어판에서 AhnLab의 AhnLab Safe Transaction 을 아예 삭제 한다거나....

 

 

2. AhnLab의 AhnLab Safe Transaction 에서 오른쪽 버튼을 눌러 '위협 행위 차단'을 체크해제 하면 될거같습니다.

AhnLab의 AhnLab Safe Transaction 이 깔린후에 인터넷할때 약간 느려진것 같은 느낌이 있더라구요. 신경쓰일 정도까지는 아니지만 체감이 될듯하게 말이죠. 하지만 랜섬웨어가 워낙 무서운 관계로 전 그냥 놔두려구요.^^

 

 

참고로, 알약도 랜섬웨어에 감염되어 파일이 암호화 되는것을 탐지하기 위해 이와 유사한 방법을 사용하고 있는걸로 알고 있습니다. 안랩의 프로그램을 사용중이신분들이 아니시라면 알약에서 생성한 폴더/파일 일수도 있습니다.