1. 개요
러시아 출신의 바이러스 유튜버 Enderman이 제작한 바이러스. 이 바이러스는 윈도우 자체의 내용을 변조하니 절대 실행하지 말 것. 심지어 파티션을 통째로 부숴버리기 때문에 단순히 하드 디스크를 다른 pc에 꽂는 것도 소용없다. 반드시 easeus와 같은 복구 프로그램을 이용해야 하며, 여기서 함부로 새 파티션을 만들면 하드 디스크 전체 데이터는 그대로 증발한다.
제작자도 알려져 있고, 그 제작자가 해결방법까지 같이 올린 걸 보면 일종의 크리피파스타용으로 제작한 프로그램인 듯하다.[1]
2. 실행 시 증상
실행하는 순간 강제로 재부팅이 된다. 재부팅 후 잠금 화면을 보면 날짜가 2020년 10월 18일로 바뀌어 있고, 사용자 사진이 모조리 빨간색이 되며, NO ESCAPE라는 사용자 계정과, 뷁어가 된 이름의 다른 계정이 아주 많이 생성된다. NO ESCAPE의 암호는 death이고, 다른 계정들은 암호를 풀 수 없어 사용 불가하다. 암호를 입력하고 들어가 보면 지옥을 찍은듯한 빨간 배경이 나오며, 바탕 화면에 문자 깨짐이 일어난 이름의 수많은 확장자 없는 파일이 생성된다. 이 파일을 열면 ' 네 컴퓨터는 이제 내 거야. 이 멀웨어는 못 지워.[원문]라고 쓰여있고, 밑에는 글자가 깨진 NO ESCAPE라고 쓰여저있다. 마우스는 좌클릭, 우클릭이 반전된다. 키보드는 a,d,e,h,n,o,s,t,y[3]와 엔터키, 스페이스만 입력이 되며, 다른 키는 먹히지 않는다. 명령 프롬프트와 레지스트리 편집기가 비활성화 된다. 그리고 작업 관리자를 보면 시스템 프로세스에 winnt32.exe가 실행되고 있는걸 볼 수있는데, 이게 메인 프로세스이다. 하지만 이걸 종료하려고 하면 블루스크린[4]이 일어나면서 재부팅 된다. 그 외에는 아무런 증상이 없지만 특정 날짜가 되면 다른 증상들이 생기게 된다. 다음 문단 참조. https://youtu.be/mfs57QAQ4fA3. 날짜별 증상
3.1. 10월 21일
이 날짜가 되면 바탕화면에 있던 모든 아이콘들이 미친듯이 무빙을 친다. 너무 빨리 움직이기 때문에 렉이 매우 심하다.3.2. 1월 14일
처음에는 아무런 증상이 없지만 EXE형식의 파일을 열면 ' 프레드 더스트의 말 : 오늘은 컴퓨터 하지 말고 박에 가서 놀아라'[원문2]라는 조금 이상한 오류가 뜬다.3.3. 3월 9일
화면이 검은색으로 덮히며 점점 깨지기 시작한다. 여기서 갑자기 창이 뜨거나 화면을 드래그 하면 다시 돌아오지만 깨지는 속도가 점점 빨라지기 시작하기 때문에 아무런 소용이 없다. 그리고 일정 시간이 지나면 갑자기 비프음을 내면서 블루스크린이 뜬다.3.4. 9월 18일
재부팅 후 메모장이 뜨면서 “ 이젠 탈출구따윈 없어. 이 창을 닫지 마. 어찌 됐든 이제 네 컴퓨터는 끝이야. 네 컴퓨터의 마지막 순간을 즐겨볼까?'[원문3] 라고 자동으로 입력이 된다. 여기서 메모장을 닫으면 블루스크린이 뜨는데, 재부팅 되면 MBR 또는 GPT가 변조돼서 부팅이 불가능해진다. 메모장을 닫지 않고 yes또는 no를 입력하면 갑자기 explorer.exe가 강제종료 되면서 그림판, 작업관리자, 메모장등등 보조프로그램이 열리게되며, 3월 9일 증상처럼 화면이 깨지다가, 비프음이 들리며 블루스크린이 뜬다. 블루스크린의 복구 진행도가 100%가 된 후 자동으로 재시작이 되는데, 이 또한 MBR 또는 GPT가 변조되어 윈도우를 사용할 수 없게 된다.4. 복구 방법
포맷이 가장 확실한 방법이지만,데이터를 잃어버리지 않고 해결할 수 있는 방법이 공개되었다.제작자 영상
한국어 영상[7]
5. 여담
- NT 커널 버전 10, 즉 Windows 10 이후의 운영체제에서만 동작한다. 이전 버전의 운영체제에서 동작시킬 경우에는 커널 버전이 맞지 않다는 메시지가 뜨면서 동작하지 않거나, 아예 실행이 불가능하다는 오류가 뜬다.
[1]
허나 일본의
트렌드마이크로의
멀웨어 정보 열람에 진짜
랜섬웨어로
정의되었다. 진단명은 Ransom.Win32.NOESCAPE이다. 다만 랜섬웨어는 정의 상 프로그램을 사용해 제작자가 금품 등을 요구하는 범죄 행위를 필수적으로 하는데, Enderman은 실제로 이 프로그램을 사용해 금품을 갈취하는 범죄 행위를 저지르지 않았으므로 랜섬웨어로 분류할 수 없다.
[원문]
YOUR COMPUTER IS MINE, YOU CANNOT GET RID OF THIS MALWARE.
[3]
death, yes, no
[4]
오류코드는 CRITICAL_PROCESS_DIED. 이 오류 코드는 시스템의 특정 프로세스를 종료할 경우 적용된다. 즉, winnt32.exe를 메인 프로세스로 지정해놓았다가 이 프로세스가 닫히는 즉시 저 오류코드로 블루스크린을 띄우는 것.
[원문2]
fred durst says:no computer today silly boy go outsie to play
[원문3]
There is no escape now. Do not try to close this window, your computer is now done for anyway. Do you want to enjoy the last minutes using your computer?
[7]
초다가 제작한 영상이다. 복구 방법은 4분 8초부터.