랜섬웨어 복구 및 대응방법 랜섬웨어 감염 복구 방법, 복구 프로그램
31,127 오늘 21 어제 163 랜섬웨어Ransomware는 악성 소프트웨어의 한 종류로, 컴퓨터 시스템이나 데이터를 암호화하여 사용자가 접근할 수 없게 만들고, 이를 풀기 위해 사용자에게 돈에 관한 요청을 하는 것을 말합니다. 2023년 4월 24일 11시 경, 기업 동료의 다급한 호출이 있었습니다. 특정 사이트에 들어갔다. 나온 뒤, 뭔가 괴상한 메세지가 계속 표시되고 컴퓨터도 빠르게 느려졌다는 것이었습니다. 메세지를 확인해보니 기업 내부 파일 서버에 네트워크 드라이브로 연결하여 사용 중인 RaiDrive 의 업로드 실패 알림이었습니다.
업로드가 실패된 파일과 경로를 보니, 제가 기업 동료에서 읽기 권한만 주고 쓰기 권한은 주지 않은 폴더였습니다.
Contents
2020년 1월 20일 Devos 랜섬웨어 감염
당시엔 기업 파일 서버에 아무런 백업 조치도 없었고 은행 업무용으로만 사용하던 원격 데스크탑이 해킹 당한 상황이라 이미 감염이 거의 끝난 시점에서야 발견을 하게 되어서 피해가 막심했습니다. .id58A118EF2677.freda.piercyfullaol.com.Devos
당시에는 파일 뒤에 저런 문구가 모두 붙었는데 아무리 검색해봐도 복구 방법이 없었고 지금까지도 복구가 불가능한 상황입니다.
은행 업무용 PC가 접속되어있는 파일 서버의 권한 범위가 제한적이어서 100 모든 자료가 날라가진 않았지만 관련 자료들을 다시 찾고 만드는데 엄청난 시간과 노력이 들었던 것으로 알고 있습니다.네이버 마이박스 , 구글드라이드 개인용 클라우드 스토리지 사용
랜섬웨어를 대응하기 위해선 주기적인 데이터파일 백업이 중요합니다. 랜섬웨어는 랜선이 연결돼어 있지 않으면 감염되지 않습니다. 인터넷 상으로 침투하여 파일을 해킹하곤 합니다. 기업 뿐만 아니라 개인도 타겟이 되기 때문에 늘 유의해야합니다. 그 중 가장 저렴한 비용일정 용량 무료으로 사용하여 대응할 수 있는 방법이 네이버나 구글이 공급하는 개인용 클라우드 스토리지를 활용하는 것입니다.
네이버 마이박스는 기본 제공 30GB를 제공합니다. 필요한 파일은 백업하고 , 자동 백업을 설정하여 주기적으로 백업을 해주시기 바랍니다야합니다. 또한 ,크기가 부족하면 월 사용료를 통해 추가 용량을 사용할 수 있습니다. 구글 드생방송은 기본 제공 15GB를 무상으로 제공합니다.
AppCheck
바이러스제로 시즌2 카페에 제가 걸린 랜섬웨어 문의 글을 남겼었는데, 즉각 적용된 안티랜섬웨어 입니다. 현재 ravack 에 대한 랜섬웨어를 잡아내고 있으며, ravack에 대한 분석 자료도 체크멀 블로그를 통해 안내해주고 있습니다. 보조 안티랜섬웨어로 성능이 우수하며 즉각적인 반응을 하는 혜택이 있으나, 가끔윈도우업데이트등을 오진하는 경우가 있다고 해요. 하지만 이부분도 실 사용에서 크게 나타나지 않고 있어서 예전이야기가 되고 있는 것 같습니다.
무료버전과 유료버전이 있는데, 무료버전으로 개인 및 자택에서 사용이 가능합니다. (추가: 사용해보니 가볍고 좋네요..^^) 홈페이지 주소 ravack 랜섬웨어 관련 체크멀 블로그 주소 저는 그간 윈도우 디팬더 보안센터 만 켜두고 전자기기를 이용해서 왔었습니다.
랜서웨어 치료
안티 바이러스 백신 소프트웨어에서 랜섬웨어가 탐지되어 차단되었다는 쪽지를 보인다면 더 이상의 문제는 없으니 안티 바이러스를 통해 시스템 정밀 검사를 실천하고 추후 재발 방지 대책을 세우면 됩니다. crypt, vvv, zepto, fun 등이나 알 수 없는 명칭들로 확장자가 변환되고, 랜섬웨어 협박문과 함께 타이머가 보이 기 시작한다면 바로 아래 대처법을 시행해야 합니다. 최근에는 파일 확장자나 이름을 바꾸지 않으면서 암호화하는 경우 가 발생됩니다.
하드디스크 SSD의 MBR GPT가 변조 암호화되는 랜섬웨어 페트야 미샤, 골든아이, 사타나 등에 감염되었을 경우 해당 디스크에 설치된 운영 체제로 부팅이 되지 않으므로 다른 복구 방법을 사용해야 합니다.
후기 및 방지 대책
첫차례 대규모 랜섬웨어 감염 시에는 정말 아찔할 정도로 많은 자료들의 손실이 있었습니다. 당시에는 NAS의 RAID를 통한 물리적인 HDD 손상만 대비 중이었기 때문에 만약 감염된 PC에 로그인 된 파일서버의 권한이 조금만 더 많았다면 손 쓸 수 없을 정도의 손실이 있었을지도 모릅니다. 그 때의 경험을 통해 NAS의 버저닝이라는 기능을 새롭게 알게 되었고 즉시 설정을 해놓았던 것이 큰 도움이 되었던 것 같습니다.
이번 랜섬웨어의 종류는 아직 파악이 되지 않았으나 문서와 이미지 파일 위주로 선택적 변조를 하는 것으로 보였으며 네트워크 공유 폴더가 아닌 로컬 드라이브로 인식된 것까지만 침투를 하는 것으로 보입니다. 서버 쪽 파일 로그를 보시면 모두 WebDAV 를 통한 변조였기 때문입니다.
자주 묻는 질문
2020년 1월 20일 Devos 랜섬웨어
당시엔 기업 파일 서버에 아무런 백업 조치도 없었고 은행 업무용으로만 사용하던 원격 데스크탑이 해킹 당한 상황이라 이미 감염이 거의 끝난 시점에서야 발견을 하게 되어서 피해가 막심했습니다. 더 알고싶으시면 본문을 클릭해주세요.
AppCheck
바이러스제로 시즌2 카페에 제가 걸린 랜섬웨어 문의 글을 남겼었는데, 즉각 적용된 안티랜섬웨어 입니다. 자세한 내용은 본문을 참고하시기 바랍니다.
랜서웨어 치료
안티 바이러스 백신 소프트웨어에서 랜섬웨어가 탐지되어 차단되었다는 쪽지를 보인다면 더 이상의 문제는 없으니 안티 바이러스를 통해 시스템 정밀 검사를 실천하고 추후 재발 방지 대책을 세우면 됩니다. 자세한 내용은 본문을 참고 해주시기 바랍니다.