2020/08/17

랜섬웨어 복구에 관한 간단한 팁

데이터 복원 프로그램을 이용해 랜섬웨어 피해 복구하기

랜섬웨어 복구에 관한 간단한 팁
<랜섬웨어 복구에 관한 간단한 팁>

랜섬웨어 암호화 과정을 역으로 이용

오늘 글은 랜섬웨어 피해로부터 잃어버린 소중한 파일들을 복구하는 방법에 관한 내용이다. 일단 이 글에 적힌 방법으론 전용 랜섬웨어 복호화 툴처럼 100% 복구를 보장하지 않지만, 단 한 개의 파일도 복구하지 못하는 것보다는 나을 것이라는 판단에서 작성한 글 임을 미리 말해둔다. 또한, Trim 기능 때문에 일반적인 파일 복구 방법을 사용할 수 없는 SSD는 사용할 수 없다. 따라서 랜섬웨어 암호화된 파일이 HDD에 있을 때만 사용할 수 있는 방법이다.

복구 원리는 생각보다 간단하다. 랜섬웨어 암호화 과정을 역으로 이용한 것뿐이다.

혹시라도 오늘 같은 랜섬웨어 감염 테스트는 절대로 아무나 따라 해서는 안 된다. 잘못하면 소중한 자료를 순간의 호기심 때문에 영영 잃어버리는 낭패를 볼 수도 있다.

랜섬웨어 원리

좀 더 깊이 있는 내용은 「해킹보안 : 랜섬웨어 목적 및 원리 이해하기 #02」 글 참고.

여기서 랜섬웨어가 파일을 암호화하거나 파일을 이동하는 과정에서 원본 파일은 삭제된다. 그렇다. 원본 파일은 ‘뿅’하고 사라지는 것이 아니고 단지 삭제될 뿐이다. 쉽게 말해 반디집 같은 압축 프로그램으로 파일을 압축할 때 [압축 후 원본파일 삭제] 작업을 상상하면 된다(완전히 똑같지는 않겠지만 얼추 비슷하다고 생각된다). 고로 사용자는 데이터 복구 프로그램을 사용해 랜섬웨어가 삭제한 원본 파일을 이른 시일 내에 복구하면 된다.

너무 간단한가? 그렇지만 실제 테스트를 통해 비록 100%는 아니지만 시도해볼 만한 가치는 충분히 있다는 것 정도는 입증되었다고 생각한다.

압축 후 원본파일 삭제

[압축 후 원본파일 삭제] 옵션은 파일을 압축하는 과정에서 새 파일을 생성하고 원본 파일은 삭제한다.

랜섬웨어 피해 복구 과정

1. 랜섬웨어 감염을 알아챘을 때 가능한 한 빨리 PC를 종료한다(오늘 테스트에선 WannaCry 랜섬웨어를 사용).

2. 감염된 HDD를 다른 컴퓨터에 장착한다( 이때 2차 감염이 일어나지 않도록 주의! )

3. 또는 Sergei 같은 PE로 부팅해 복구할 수도 있다(이때 복구한 파일을 저장할 수 있는 별도의 저장 장치 필요)

4. 복구 프로그램(동영상에선 MiniTool Power Data Recovery 이용)으로 감염된 HDD를 검색(HDD 저장 공간 크기에 따라 수 시간에서 수십 시간 소요).

5. 복구할 파일을 선택하고 감염된 HDD가 아닌 다른 하드디스크로 선택한 파일을 복원.

● 감염된 HDD를 처리하는 방법에 대해선 별도로 이야기하지 않겠다.

테스트 후기

동영상의 첫 번째 테스트에선 jpg, txt, xlsx, mp4, mkv 파일을, 두 번째 테스트에선 rar, doc, txt, xlsx, pdf, hwp, xml 파일을 인질로 삼았는데, 이 중에서 jpg 파일은 전부 복구되었고(원본과 MD5 해시값은 다른 상태로), xlsx, rar, doc, hwp, xml 파일은 일부 복구되었다. 그러나 txt, pdf 파일과 동영상 파일은 모두 복구에 실패했다.

특히 오피스 문서와 rar 압축 파일 같은 경우는 MiniTool Power Data Recovery만이 별도로 지원하는 것으로 보이는 [More Lost Files(RAW)] 복구 방법으로 완벽하게. 즉 원본과 MD5 해시값이 같은 상태로 복원할 수 있었다. 이로 보아 데이터 복구 성공률은 어떤 데이터 복구 프로그램을 사용하느냐에 따라 달라질 수도 있을 것으로 추측된다.

복구된 [strings - Copy.xml] 파일
<복구된 [strings - Copy.xml] 파일>

두 번째 테스트에서 눈여겨볼 점은 strings.xml 원래 파일은 복구 실패한 것에 비해 이것을 탐색기에서 바로 [복사 - 붙여넣기]해서 생성한 복사본(strings – Copy.xml) 두 개는 본문 내용 끝부분이 조금 깨진 채였지만(바로 위 사진 참고), 일부분이나마 복원되었다는 것이다. 이것은 doc, hwp, xlsx 문서도 그러했다. 똑같은 파일에 이름만 다를 뿐인데 왜 복구 결과가 다른 것일까?

혹시 랜섬웨어가 암호화를 마치고 합의를 요구하는 화면을 출력한 이후에 ─ 오늘 테스트처럼 ─ 데이터 복구 프로그램으로 원본 파일을 복구하지 못하도록 와이핑(Wiiping) 작업을 시도하는 것은 아닐까? 그렇다면 오늘 방법은 랜섬웨어 피해를 빨리 알아챌수록 복구 성공률이 높은 것이다. 와이핑 작업이 끝나면 삭제된 데이터는 진짜로 지워지기 때문이다.

MiniTool Power Data Recovery
복구한 파일은 원본과 해시값이 일치한다

MiniTool Power Data Recovery의 [Existing Partition(NTFS)에서 복구한 파일은 원본과 내용은 거의 같지만 해시값은 다르다. 하지만, [More Lost FIles(RAW)]에서 복구한 파일은 원본과 해시값이 일치한다.

마치면서

오늘 소개한 방법은 램선웨어 피해로부터 완벽한 복구를 기대할 수는 없지만, 일단 급한 대로 써먹을 방법의 하나다. 무엇보다 복호화 도구가 없는 랜섬웨어에 감염되었을 때 뒤늦은 후회에 빠져 땅을 치고 통곡하기보다는 밑져야 본전이라는 생각으로 한 번 정도는 시도해볼 만한 방법이다.

하지만, 나의 모든 테스트가 그랬듯이, 오늘 테스트는 미흡하고 부족한 점이 유난히 많아 보인다. 이 글을 작성하는 나조차 여지껏 갈피를 잡기 어려운데, 이 글을 읽는 사람들이야 오죽할까?

오늘 같은 테스트에 대해 뭔가 명확한 답을 내리려면 좀 더 많은 테스트와 그런 테스트를 빈틈없이 수행할 수 있는 숙련된 지식과 경험이 필요하다는 점에서 내 글은 참으로 부끄럽다. 아마 이 방법을 이미 여러 사람이 공유하고 있을 것으로 생각되지만, 랜섬웨어 피해에 고심하는 사람들에게 조금이나마 도움이 되고자 감히 몇 자 적어보았다.

0 comments:

댓글 쓰기

댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요