이번 글에서는 최근 갑자기 생성된 특수문자 이름의 숨김 폴더의 정체에 대해 살펴보겠습니다.
갑자기 생성된 특수문자 숨김 폴더
2016년 6월 20일 밤, 탐색기를 사용 중 [!Iqe.(A8]이라는 이름을 지닌 숨김 속성의 특수 문자 폴더가 모든 드라이브에 생성된 것을 보았다.
처음엔 ‘아, 드디어 나도 랜섬웨어를 경험하게 된 것인가?’라는 생각이 들었고, 뒤이어 즉시 폴더 내부를 확인함과 동시에 작업 관리자를 열고 CPU와 디스크 사용률을 확인했다.
그러나 CPU의 사용률은 미미했으며 디스크 사용률은 없었다. [!Iqe.(A8] 폴더 내부에는 [!f46msZ8.doc], [!f46msZ8.jpg], [!f46msZ8.ppt] 파일만이 존재함을 확인할 수 있었다. 또한 휴지통에는 내가 지우지도 않은 [OMhcM.jpg]라는 파일이 있었다.
혹시 랜섬웨어가 아닌 다른 악성 코드는 아닐까 생각되어 시작 프로그램들을 확인했는데 역시 특이한 부분은 없었다.
결국 의심가는 프로그램을 모두 삭제했다. 그러나 리부팅 후 [!Iqe.(A8] 폴더 및 파일들은 계속 생성이 되고 있었고, 심지어는 절전 모드 후 복귀 시에도 다시 생성됨을 확인할 수 있었다.
갑자기 생성된 특수문자 숨김 폴더의 정체?!
Windows를 다시 설치해야하나 고민하던 순간 머릿속에 떠오른 것은 혹시 ‘[백신]의 문제가 아닐까?’라는 생각이었다. 예전에 랜섬웨어 예방 프로그램이 가장 빠른 문자열인 !xxxxx 형태의 폴더와 파일을 생성해서 랜섬웨어가 해당 파일을 변조할 때 이를 감지하여 차단하는 방식이라는 것이 떠올랐기 때문이다.
개인 PC에 사용 중인 백신은 Ahnlab V3 Lite였는데 이와 관련된 어떤 안내 공지도 없었고, 결국 1:1 문의로 질문한 결과 다음과 같은 내용을 확인할 수 있었다.
결국 V3에서 2016년 6월 20일 적용된 새로운 업데이트로 인한 해프닝이었던 것이다.
관련 문의가 많았는지 지금은 다음과 같은 공지가 올라온 상태다.
* 사용 중인 모든 드라이브의 최상위 경로에 숨김 파일 속성으로 랜덤한 폴더를 생성합니다.
* 폴더명은 랜덤하게 생성하며, 앞에 특수기호(@, $, %, ! 등)가 적용됩니다.
* 디코이(Decoy)는 V3 제품군에서 생성한 파일에 랜섬웨어가 암호화 하려고 접근하면 탐지하고 차단하는 기능입니다.