본문 바로가기

벌새::Analysis

Sodinokibi 랜섬웨어 감염 후 파일 다운로드 시 권한 부족으로 실패하는 원인 (2020.9.12)

반응형

국내에서 가장 많은 피해를 주는 대표적인 랜섬웨어(Ransomware) 1~2위는 Windows 7 운영 체제에서만 감염되는 Magniber 랜섬웨어와 감염될 경우 사실상 PC 포맷이 필요한 Sodinokibi 랜섬웨어라고 볼 수 있습니다.

 

그 중에서도 Sodinokibi 랜섬웨어의 경우 Windows 7, Windows 8.1 운영 체제에서 감염에 성공할 경우 Windows 재부팅에 실패할 수 있는 문제가 존재하며 특히 2020년 3월 16일경부터 감염 시 다수의 폴더 권한을 삭제하여 기존에 설치된 프로그램의 정상적인 동작에 영향을 줄 수도 있습니다.

 

Sodinokibi 랜섬웨어 유포 사이트 (네봄이)

ZIP 압축 파일 내 .js 스크립트 파일로 감염되는 Sodinokibi 랜섬웨어 주의 (2020.4.14)

 

가장 대표적인 감염 방식은 인터넷 검색을 통해 접속한 네봄이 사이트에서 다운로드한 ZIP 압축 파일에 존재하는 .js 스크립트 파일을 사용자가 직접 실행하여 Sodinokibi 랜섬웨어 감염으로 연결되는 경우입니다.

 

Sodinokibi 랜섬웨어에 의해 암호화된 파일

Sodinokibi 랜섬웨어에 의해 암호화된 파일은 .<5~10자리 Random 확장명> 패턴으로 변경되며, <암호화 확장명>-readme.txt 결제 안내 파일을 생성합니다.

 

권한 부족으로 다운로드 실패한 모습

그런데 Sodinokibi 랜섬웨어 감염이 발생한 PC 사용자가 Chrome 웹 브라우저를 이용하여 파일 다운로드를 시도할 경우 "실패 - 권한 부족" 메시지가 생성되면서 파일 다운로드가 이루어지지 않는 문제가 있습니다.

 

다운로드 폴더 권한 비교

Chrome 웹 브라우저의 다운로드 폴더를 확인해보면 Sodinokibi 랜섬웨어 감염 이전과 감염 이후의 폴더 권한이 변경된 것을 확인할 수 있으며, 해당 랜섬웨어는 다양한 폴더에서 기존에 등록된 그룹 또는 사용자를 모두 삭제하여 권한이 없는 폴더로 변경하는 기능이 포함되어 있습니다.

 

이로 인하여 Chrome 웹 브라우저에서 다운로드 폴더로 파일 다운로드를 시도할 경우 해당 폴더에 권한이 없어서 파일을 생성하지 못하는 문제가 발생합니다.

 

이런 경우 Chrome 웹 브라우저에서 파일 다운로드 시 이용하는 다운로드 폴더의 권한을 추가하는 방식으로 해결할 수 있습니다.

 

(1) 다운로드 폴더의 폴더 속성에서 보안탭을 클릭한 후 "편집" 버튼을 클릭하시기 바랍니다.

 

(2) 다운로드의 사용 권한 창에서 "추가" 버튼을 클릭하시기 바랍니다.

 

다운로드 폴더의 사용 권한 (보안)

(3) 사용자 또는 그룹 선택 창에서 "선택할 개체 이름을 입력하십시오." 공란에 다음과 같은 형태로 정보를 입력하시기 바랍니다.

 

사용자 또는 그룹 선택

해당 정보 입력 시 "찾을 위치를 선택하십시오."에 표시된 컴퓨터 이름과 현재 로그온한 Windows 사용자 계정명을 참고하여 "<컴퓨터 이름>\<사용자 계정명>" 형태로 입력한 후 확인 버튼을 클릭하시기 바랍니다.

 

(4) 다운로드의 사용 권한에 추가된 사용자의 사용 권한에서 "모든 권한 - 허용" 박스에 체크하시기 바랍니다.

 

다운로드 폴더의 사용 권한 (모든 권한 허용)

(5) 확인 버튼을 클릭할 경우 다음과 같은 "보안 적용 오류" 메시지 창이 다수 발생할 수 있으므로 "계속" 버튼을 클릭하시기 바랍니다.

 

보안 적용 오류 메시지 창

(6) 모든 절차가 완료된 경우 다운로드 폴더 속성에 현재 Windows 계정 사용자가 권한을 획득한 것을 확인할 수 있습니다.

 

다운로드 속성에 추가된 사용자 및 사용 권한

위와 같이 Chrome 웹 브라우저가 파일 다운로드를 통해 최종 저장되는 다운로드 폴더의 권한을 획득한 이후 실제 파일 다운로드를 진행해보면 다음과 같이 정상적으로 파일 다운로드 및 저장이 이루어지는 것을 확인할 수 있습니다.

 

Chrome 웹 브라우저의 파일 다운로드 성공

근본적으로 네봄이 사이트에서 다운로드한 파일을 정상적인 파일로 착각하여 .js 스크립트 파일을 실행하는 일이 없도록 해야겠지만, 만약 Sodinokibi 랜섬웨어 감염 이후 웹 브라우저를 통한 파일 다운로드조차 이루어지지 않는 문제로 고생할 경우에는 해당 내용을 참고하시기 바랍니다.

 

또한 Sodinokibi 랜섬웨어에 감염된 경우에는 다수의 폴더 권한 삭제로 인하여 일부 설치된 응용 프로그램 오류 등이 발생할 가능성이 있으므로 PC 포맷을 하시는 것을 권장합니다.

728x90
반응형
  • 지나가던 행인 2020.09.16 09:40 댓글주소 수정/삭제 댓글쓰기

    진짜 이거 때문에 머리 아팠는데 덕분에 해결했네요. 정말 감사합니다^^

  • 도대체 그 좋은 머리로 왜 남을 괴롭히는 방법으로 돈을 벌려고 하는지 모르겠네요.
    악성코드를 항상 조심하려고 노력하지만, 이게 어디 쉬워야 말이죠.
    올려 주신 글로 다시 한 번 경각심을 갖습니다. 감사합니다.

  • 에드 2020.10.01 14:50 댓글주소 수정/삭제 댓글쓰기

    19년 광복절에 소디노키비 랜섬웨어를 걸리고나서 C드라이브는 포맷하고 외장하드는 현재 복호화툴이 나오기까지 존버중입니다.

    readme.txt의 확장자 2vskil0 정보를 아시는게 있으신가요..??

    조금더 길게 봐야되나 걱정이네요... 중요한 파일들이 상당히 많아서요..ㅠ

  • 에드 2020.10.02 15:43 댓글주소 수정/삭제 댓글쓰기

    한 10년이상 길게 바라보면 복호화툴 나올가능성 있을까요? ㅠ 아니면 묻히려나요....

  • Wannnn 2020.10.07 23:50 댓글주소 수정/삭제 댓글쓰기

    저도 소디노키비 랜섬웨어 걸렷는데요... 다운로드 폴더와 같은 프로그램 파일 목록들을 우클릭 하면 아예 컴퓨터 화면이 윈도우 바가 중지 되었다가 다시 켜져서 다운로드 폴더와 같은 폴더의 속성에 접근 할수가 없네요...

  • 익명 2020.10.09 16:15 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • ㅇㅇ 2020.10.17 22:04 댓글주소 수정/삭제 댓글쓰기

    동생이 어쩌다 power shell이라는 것을 다운받고 랜섬웨어에 감염되어 처리는 했지만 다운을 못했었는데 이거덕분에 해결되었네요 감사합니다

  • 힝구.. 2020.11.24 00:38 댓글주소 수정/삭제 댓글쓰기

    똑같이 따라한것같은대 왜 저는안돼는걸까요....

  • 랜섬웨어 2020.12.03 08:34 댓글주소 수정/삭제 댓글쓰기

    전...다운로드 폴더를 못 찾겠어요..ㅜ.ㅜ 어디서 속성에들어가고 보안에 들어가야하는지 그곳을 못찾겠어요...ㅜ.ㅜ
    회사일이라 급한데...흑흑

    • 다운로드 경로입니다.

      C:\Users\%UserName%\Downloads 복사해서 탐색기 주소창에 넣어보시기 바랍니다.

  • <사용자 계정명>에 Friend530 말고 제 계정명(한글 이름)을 넣으면 되는건가요??
    '이름을 찾을 수 없음' 이라고 나요네요 ㅜㅜ

  • 파일 다운로드가 안되고 셋업파일을 실행하려하면 [이 앱이 디바이스를 편집하도록 허용하시겠어요?] 라고 떠서 백신을 다운로드할수 없는데 해결방법이 있나요?

    • https://blog.supersu.kr/computer/how-to-recovery-when-yes-button-in-windows10-user-access-control-is-not-showing

      이런 내용이 있으므로 확인해 보시기 바랍니다. 참고로 저런 증상을 재현 방법이 없어서 답변이 어렵습니다.

  • CMD는.. 2021.01.07 09:48 댓글주소 수정/삭제 댓글쓰기

    CMD에서 저렇게 설정 하는 명령어가 있을까요?
    다운로드 폴더에 마우스 우클릭을 누르면 파일 탐색기가 꺼져버리네요...
    업그레이드 버전으로 나온건지..;;

    • 이 랜섬웨어 감염 후에 그렇게 되었다면 뭔가 시스템이 상당히 불안정해서 발생하는게 아닌가 싶습니다.ㅠ

  • 저.. 2021.01.14 19:25 댓글주소 수정/삭제 댓글쓰기

    제가 제 이름을 입력했는데요.. 그래도 이름을 찾을 수 없다고 뜹니다..

  • asd 2021.01.22 16:34 댓글주소 수정/삭제 댓글쓰기

    업그레이드버전(?) 같은 분들은 속성 누를려고 우클릭하면 꺼져버릴땐 다운로드 폴더를 다른위치로 바꾸니까 되네요!!

  • 익명 2021.01.29 22:58 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 익명 2021.01.29 23:07 댓글주소 수정/삭제 댓글쓰기

    죄송헌디......microsoft 컴퓨터 일땐 어...떻게 하나요?? 제가 microsoft계정이 있는데 어떻게 할지 머르겠네요.
    microsoft계정을 컴터 이름하고 ∖하고 microsoft계정썻는데 안되네요....ㅠㅠㅠㅠ

  • 익명 2021.01.29 23:10 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 익명 2021.01.29 23:21 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 이 랜섬웨어는 다수의 폴더 권한을 삭제하므로 이전 권한으로 복구하기 매우 어렵습니다. 특히 사진 폴더같이 기본 폴더인 경우에는 포맷을 권합니다.ㅠㅠ

  • 사람 2021.04.08 03:10 댓글주소 수정/삭제 댓글쓰기

    저 근데 다운로드 속성 탭 여는 방법을 모르겠어용ㅠㅠㅠㅠ