GANDCRAB v5.0.4

어느날 갑자기 윈도우즈에서 gvim을 열었는데 뭔가 이상하다.

사용자 설정이 적용되지 않은 초기 설정 상태로 vi가 로딩된다.

뭐지 하다가 .vimrc 파일을 봤더니 .vimrc파일의 이름이 .vimrc.jkupivz 뭐 이런 확장자로 모두 바뀌어 있고 JKUPIVZ-DECRYPT.txt 파일이 하나씩 생겨있다.

system explorer로 보니 jnnxxx.exe 파일이 돌고 있고 파일의 확장자를 바꾸고 있다.

.vimrc가 있는 디렉토리의 위치는 Windwos의 기본 사용자 디렉토리고 거기 보니 jnnxxx.exe 파일이 딱 ..

프로세스를 강제 종료하고 실행파일을 삭제하니 더 이상 진행되지는 않는다.

운이 좋았다.

이런 프로그램은 유저에게 들키지 않기 위해 PC점유율을 많이 사용하지 않고 우선순위가 낮은 상태로 동작하기 때문에 퇴근후였다면 전체 데이타를 날릴뻔 했다.

최근에 웹에서 다운로드한 js 파일을 본다는 게 더블클릭을 해서 실행된 적이 있는데 그것 때문인가 예상해본다.

찾아서 공유해야 하는데 바로 지워서 파일명이 생각나지 않는다.

떠오르면 바로 공유해야겠다.

아래와 같은 파일형식은 주의 할 것 ..

보통 zip 형식의 파일을 다운로드 하면 .js 파일 확장자로 되어 있음 js 파일 절대 실행 금지 ..

참고 URL