컴퓨터에 이상한 이름의 폴더가 갑자기 생겼어요 - 이 파일은 안랩에서 랜섬웨어 진단을 위해 만든 디코이 파일입니다?

매일 블로그에 글을 올리니 글을 쓰다가 '사진 올리기' 기능을 이용하는 것은 당연한 일인데 며칠 전부터 갑자기 사진 올리기만 선택하면 내 탐색기를 보여주는 작은 창에 못보던 폴더가, 그것도 희한한 이름을 가진 것이 보이기 시작했다. 처음 두 번 정도는 뭔가의 임시폴더려니 생각하고 지웠는데 이것이 끈질기게 다시 생기는 것을 보니 그제서야 가슴이 철렁한다. 랜섬웨어?

사진 올리기만 선택하면 내 탐색기를 보여주는 작은 창에 못보던 폴더가, 그것도 희한한 이름을 가진 것이 보이기 시작했다

게다가 이름까지 %FRC-FM이라니... 하도 이상해 숨김 폴더, 운영체제 폴더 모두 다 보이게 해서 탐색기에서 살펴봐도 절대 안 보이고 사진 올리기만 하면 사진을 저장하는 드라이브인 D의 맨 위에 나타나는 것이었다. 탐색기에서는 안 보이니 안에 뭐가 들었는지 볼 수도 없고 말이다

이 파일은 안랩에서 랜섬웨어 진단을 위해 만든 디코이 파일입니다

위의 그림은 블로그 '사진 올리기'에서 일단 이 폴더를 선택해 사진을 올리는 것처럼 '열기'를 했더니 내용물이 보이는데 그걸 다시 '내 PC에 저장'으로 해서 건진 사진이다. decoy라... 탐지용, 유인용? - 그런데 이게 정말 안랩에서 만든 것인지 어떻게 믿냐고?

검색에서 대충 안랩의 폴더가 맞다는 말들이 있었지만 누구 하나 증명을 해놓은 것은 없어서 내가 직접 알아보기로 한다. 게다가 내 폴더 이름은 라디오니 FM이니 이런 것들만 뜨고 안랩에 대한 언급은 없다. 

 

안랩의 구동을 일단 멈추려고 '환경설정'으로 들어가보기로 했다

내 생각에는 안랩이 작동하지 않으면 이 폴더도 생성 되지 않겠지, 생각해서 안랩의 구동을 일단 멈추려고 '환경설정'으로 들어가보기로 했다

안랩, 컴퓨터 시작할 때 자동으로 시작 안 되게 설정 할 수도 있다

이 물건에 관심을 가지고 일부러 열어보는 것은 몇 해 동안 쓰면서도 처음인데 어라? 컴퓨터 시작할 때 자동으로 시작 안 되게 설정 할 수도 있었네? - 그 동안 이 넘의 것 서비스, 작업 관리자 등에서 꺼도 다시 살아나고를 거듭 하길래 포기하고 있었는데 말이다.

안랩, 재설치 해야 할 수도 있다는 경고를 한다

그런데 아니나 다를까 재설치 해야 할 수도 있다는 경고를 한다. 아무튼 지금은 이것의 작동을 멈추는 것이 목적이니 "예" 하고 넘어간다. (컴퓨터를 다시 시작했나 어쨌나 기억이 안 난다.)

뱅킹 페이지가 안 된다

그리고 시험 삼아 뱅킹 페이지로 가보니 역시나 프로그램을 설치하라고 뜬다

안랩을 수동으로 시작, 이것은 시간이 제법 오래 걸린다

그래서 안랩을 수동으로 시작 (이럴 줄 알고 시작메뉴에 붙여 두었음), 이것은 시간이 제법 오래 걸린다 - 고로 이런 사이트에 수시로 드나드는 사람은 자동시작 그대로 해두는 것이 훨씬 편할 것 같다.

오래 걸려 안랩이 구동을 시작하니 뱅킹 페이지가 제대로 열린다

아무튼 오래 걸려 안랩이 구동을 시작하니 뱅킹 페이지가 제대로 열린다

작업관리자를 열어보니 안랩도 사라지고 없다

그리고 사이트를 빠져 나와 꽤 시간이 지난 후에 작업관리자를 열어보니 안랩도 사라지고 없다 (금방은 사라지지 않음). 그리고 이 상태에서 애초에 문제가 된  "%FRC-FM" 폴더가 사진 올리기 할 때 보이는지 아닌지만 확인하면 된다

아래 위로 스크롤 다 해봐도 그 괴폴더는 안 보인다. 그렇다면 안랩이 만든 폴더가 맞나보다

없다, 아래 위로 스크롤 다 해봐도 그 괴폴더는 안 보인다. 그렇다면 안랩이 만든 폴더가 맞나보다. 구동 시켰을 때 또 생기면 더 확실 할테니

안랩을 다시 원래 설정대로 자동으로 바꾼다

안랩을 다시 원래 설정대로 자동으로 바꾼 다음

괴폴더가 다시 생겨있는 것이 보인다 - 정말 안랩이 만든 미끼용 폴더라는 것이 확인 돼 안심이다

괴폴더가 다시 생겨있는 것이 보인다 - 정말 안랩이 만든 미끼용 폴더라는 것이 확인 돼 안심이다. - 그리고 안랩을 위처럼 설정변경 해 시작 프로그램에서 제외 시킬 수도 백그라운드에서 늘 돌지 않게 할 수도 있다는 것은 처음 알았다. - 하지만 보안 사이트에 자주 가는 편이라면 그냥 돌게 놔두는 것이 편하다. 

왜냐하면 이것 하나 더 돌아간다고 부팅시간이나 프로그램 성능에 체감할 만한 지장을 주는 것이 아니라는 것을 작업관리자에서 확인했기 때문이다. 위 그림에서는 안랩보다 디펜더가 10배 가량 더 많은 메모리를 사용하는 것으로 나타나니까. (그럼 디펜더를 시작프로그램에서 빼면 부팅이 좀 더 빨라질까?)

 

ⓒ고양이와 비누바구니 All rights reserved.

댓글

Designed by JB FACTORY