랜섬웨어 복구 및 대응방법:: 랜섬웨어 감염 복구 방법, 복구 프로그램

안녕하세요 랑쿤입니다.

이번 주말 랜섬웨어로 전 세계가 비상인 가운데 한국인터넷진흥원(KISA)가 적극적인 대응을 통해 전 국민에게 대응 요령과 감염 예방법을 전파를 하고 있어 피해를 최소한으로 막으려는 움직임이 느껴서 정말 뿌듯합니다. 한국이 IT 강국이라고 하는데 이런 점에 있어서 전 국민으로 전파가 되는데 긴 시간이 걸리지 않았으면 좋겠습니다.

앞서의 포스팅에서는 한국인터넷진흥원(KISA)에서 전파하는 랜섬웨어에 걸렸을때의 감염증상, 랜섬웨어 예방법과 인터넷을 끊은 후 윈도우 방화벽 차단과, 업데이트를 하는 구체적인 방법에 대해서 말씀을 드렸습니다. 특히 요즘과 같이 SNS가 발달한 경우 한번 잘못 랜섬웨어가 퍼지게 되면 순식간에 감염 프로그램이 퍼지게 되어 그 감염 PC 대수가 기하급수적으로 늘어나게 되니 무엇보다 예방이 중요하다고 할 수 있겠습니다.

▶랜섬웨어 감염증상 및 예방법. 프로그램 업데이트 절차(바로가기)

▶주요 랜섬웨어 종류와 랜섬웨어 감염경로(바로가기)

이런 노력을 기울였음에도 불구하고.. 정말로 불행하게 랜섬웨어가 걸리는 경우도 종종... 있을 수 있습니다.. 일어나서는 안되는 일이겠지만 안타깝게도 랜섬웨어에 걸렸을 경우 그 피해를 최소화 하고 입은 피해를 복구하는데 최선을 다 해야 할것입니다. 

이번 포스팅에서는 랜섬웨어에 걸렸을때의 구체적인 대응법과 랜섬웨어 복구 프로그램을 소개해 드리겠습니다.

1. 랜섬웨어 복구 절차

랜섬웨어는 제목이 흥미로운 낚시성 스팸메일, 혹은 불법 프로그램등을 공유하거나 성인 사이트 등 신뢰할 수 없는 사이트, 파일공유 사이트 등 다양한 경로를 통해서 감염이 될 수 있습니다. 먼저 랜섬웨어에 감염이 되었다면 크게 3가지 행동 요령이 있습니다.

■ 백업 파일이 있는 경우

따로 백업 파일이 있는 경우는 감염이 되어 사용할 수 없게 된 파일을 지워버리거나 복구 시도를 통해 감염 복구를 할 수 있습니다. 복구가 안되더라도 백업 파일이 있으니 복구가 안되더라도 밑져야 본전입니다. 가장 다행인 케이스라고 할 수 있습니다.

■ 복구 프로그램이 있는 경우

컴퓨터 바이러스와 같이 랜섬웨어도 한가지 종류만 있는것이 아니라 여러 종류로 나뉘게 됩니다. 개중에서는 이미 정체가 파헤쳐져 치료가 가능한 랜섬웨어들이 있습니다. 이런 경우도 다행스럽게 복구 프로그램을 이용하면 어렵지 않게 파일 복구가 가능합니다.

■ 백업파일 및 복구 프로그램이 없는 경우

이 케이스가 가장 안타까운 경우일 것입니다... 현재로써는 아직 치료 프로그램이 없고, 백업 파일이 없다면.. 반 정도는 포기를 해야 하는 상황이 됩니다.. 감염이 되었다면 스팸으로  '입금을 하면 파일을 복구시켜 주겠다'라는 메세지가 올 수도 있는데요.. 이런 경우 입금을 한다고 해서 파일이 복구가 된다는 보장이 없습니다.. 이런 악질 프로그램을 만들어 배포를 하는 사람들에게 양심이 있다는 것에 배팅을 하는 것이죠.. 결국은 돈도 날리고 파일도 날리는.. 피해자를 두번 울리는 행동이 될 수가 있습니다. 따라서 안타깝지만 추가적인 피해를 막기 위해서 철저한 랜섬웨어 대응과 재발 방지 방안을 마련하고 추후 치료 프로그램이 개발될때 까지 기다려 보는 방법이 있겠습니다.

2. 랜섬웨어 복구 프로그램 및 복구방법

랜섬웨어에 감염이 되었더라도 혹시 복구 프로그램이 있을지 모르니 다양한 복구 시도를 해보아야 합니다. 아래의 프로그램들은 랜섬웨어 예방과 피해 방지를 위해 개발된 프로그램들입니다. 감염이 되었다면 감염 유형을 살펴보고 그에 맞는 복구 프로그램으로 시도를 해보는 것도 좋은 방법이 될 수 있습니다. 모든 복구 프로그램은 반드시 복사본으로 시도를 해 보시기 바랍니다.

1. NMR(No More Ransom) 제공 랜섬웨어 복구 프로그램

ㆍNMR은 2016년 세계 각국 사법기관과 민간 보안 기업들이 파트너를 맺어 만든 랜섬웨어 피해 예방 프로젝트 명입니다.

ㆍ치료가능 랜섬웨어: Rakhni, Rannoh, Damage, Crypton, Merry X-Mas, BarRax, Alcatraz, Bart, Crypt888 

ㆍ주소: https://www.nomoreransom.org/co/index.html

2. 이스트시큐리티 제공 랜섬웨어 복구 프로그램 

ㆍ치료가능 랜섬웨어: CryptXXX(version 1,2,3), Chimera, Teslacrypt, CoinVault, PETYA, Linux.Encoder

ㆍ주소: http://www.estsecurity.com/ransomware#decryption

3. 안랩 제공 랜섬웨어 복구 프로그램

ㆍ치료가능 랜섬웨어: CryptXXX(version 2,3), Nabucur, TeslaCrypt의 일부 랜섬웨어

ㆍ주소: http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do

4. 카스퍼스키 제공 랜섬웨어 복구 프로그램

ㆍ치료가능 랜섬웨어: CoinVault 랜섬웨어

ㆍ주소: http://news.kaspersky.co.kr/news2015/10n/151029.htm -예방법 및 복구안내(한글)

          http://support.kaspersky.com/viruses/utility

          https://noransom.kaspersky.com

5. 트랜드마이크로 제공 랜섬웨어 복구 프로그램

ㆍ치료가능 랜섬웨어: CryptXXX(version 1,2,3,4,5), TeslaCrypt(version 1,2,3,4), SNSLocker 등의 랜섬웨어

ㆍ주소: http://www.trendmicro.co.kr/kr/tools/crypto-ransomware-file-decryptor-tool/index.html

이 외에도 안랩, 이스트시큐리티 등 국내의 기업들 중 랜섬웨어 대응센터를 운영하는 곳이 있습니다. 혹시나 랜섬웨어에 감염이 되어 복구가 안되거나 도움이 필요한 상황이 되면 아래의 대응센터로 문의를 남기고 샘플을 송부하여 파일 복구 프로그램 개발에 귀중한 재료가 될 수도 있을듯 합니다.

■국내 랜섬웨어 대응센터

• 안랩 : http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
• 이스트시큐리티 : http://www.estsecurity.com/ransomware#decryption
• 하우리 : http://www.hauri.co.kr/Ransomware/index.html
• 랜섬웨어침해대응센터 : https://www.rancert.com

이번 시간에는 랜섬웨어에 감염되었을 때의 대처방법과 다양한 복구 프로그램들을 살펴 보았습니다. 먼저 랜섬웨어에 걸렸다고 바로 좌절하기 보다는 다양한 시도를 통해 먼저 복구에 대한 노력을 하는 것이 우선일듯 합니다. 또 데이터 인질범이 요구하는 돈은 단호하게 무시를 하는 것이 올바른 대처 방법이며, 당장은 복구 프로그램이 없더라도 많은 개발자들이 치료 프로그램 개발에 박차를 가하고 있는 상황이니 추후에는 복구 프로그램이 개발될 수도 있으니 희망을 버리지는 많아야 할 것 입니다.

하지만 가장 중요한 것은 올바른 예방법을 통해 애초에 랜섬웨어에 걸리지 않도록 하는 노력이 가장 중요한 것이니 꼭! 위의 예방법을 수행하여 우리의 소중한 데이터를 보호할 수 있도록 합니다.

이 정보가 도움이 되셨다면 공감 꾸욱~! 부탁 드려요~^^

-감사합니다. Fin.