크립토(파일 단위 암호화) 랜섬웨어 데이터 복구 성공 사례 공유

<크립토 랜섬웨어 데이터 복구 성공사례>

 

[2024년 O월 OO일]

고객 : “랜섬웨어에 감염되어 서버의 모든 파일이 암호화 되었습니다. 혹시 복구가 가능한가요?”

KRDC : “크립토 랜섬웨어에 감염된 파일 복구는 사실 기술적으로 힘듭니다. 다만 디지털 포렌식을 통해 일부 데이터는 복구가 가능합니다.”

 

그리고 3일동안 전화가 없었다.

 

[2024년 O월 OO일 금요일 오후5시]

고객 : “오늘 밤에 혹시 복구 서비스가 가능한가요?”

답 : “그 정도로 급하신 거여요?”

질문 : “해커랑 협상을 진행하고 있었는데 해커가 1.5비트코인을 받고 복호화 키를 주지 않고 먹튀했어요. 추가로 1.5비트코인을 더 요구하네요. ㅠㅠ”

KRDC : “ 네 알겠습니다. 바로 출발하겠습니다.”

 

1. 신고 접수

2024년 O월 OO일, 고객으로부터 크립토 랜섬웨어로 파일들이 모두 암호화되어 웹서버와 DB 서버의 모든 데이터가 손실된 문제로 상담 전화가 접수되었습니다.

​

고객사는 해커와 협상을 진행하여 1.5 비트코인을 지불했으나 해커는 복호화키를 주지 않고 추가 1.5 비트코인을 요구하는 먹튀를 저질렀습니다. 고객사는 며칠째 모든 서비스가 중지되어 매우 절박한 상황에 놓여 있었습니다.

​

또한 고객의 서버는 IDC에 위치하여 장비 출고가 불가능했으며, 외장 HDD를 통한 재부팅 시 부팅 여부가 불확실했습니다. 또한, 수년간 재부팅을 한 번도 하지 않아 서버 재부팅 자체가 어려운 상황이었습니다.

​

▶ 참고 글 : 랜섬웨어 감염 시 해커와 협상하면 안되는 이유

​

​

2. 진단 및 분석

O월 OO일 저녁 8시, 서울 모처의 IDC에 도착한 KRDC의 엔지니어팀은 심각한 상황에 직면했습니다. 서버의 DB, 백업 파일, 외장 HDD 백업 파일 모두 랜섬웨어에 감염되었으며, 재부팅 불가로 인해 이미지 백업 또한 불가능했습니다.

​

게다가, KRDC 엔지니어의 외장 HDD를 서버에 연결하자마자 랜섬웨어에 감염되는 위험까지 발생했습니다.

​

<IDC에 도착하여 복구 작업 착수>

 

​

랜섬웨어 프로세스를 죽여야 저희 팀의 디스크를 마운트 가능했습니다. 서버의 프로세스를 확인해보니 엄청난 프로세스들이 동작하고 있었고, svchost가 20개 이상 동작하고 있었습니다. 이 크립토 랜섬웨어는 svchost로 위장하여 동작하는 것을 파악할 수 있었습니다.

​

 

​

3. 전략 수립 및 대응

KRDC 엔지니어팀은 랜섬웨어 프로세스를 종료하고 서버에 원격 접속하여 FTK Imager를 사용하여 이미지 백업을 진행했습니다. 물리적 디스크 2개(RAID 구성, 총 500GB)의 이미지 백업 작업은 약 5시간 소요되었으며, 새벽 4시경에 디스크 이미지 다운로드가 완료되었습니다.

​

​

4. 데이터 복구:

새벽 5시, 사무실에 복귀하여 디스크 이미지 파일을 KRDC NAS에 업로드한 후, 대기하고 있던 데이터 분석팀, 데이터 복구팀, 고객사와 협력하여 데이터 백업 파일 복구를 바로 시작했습니다.

​

크립토 랜섬웨어(파일 단위 암호화 랜섬웨어)의 데이터 복구 프로세스는 다음과 같이 진행되었습니다.

1. 복구 프로그램을 사용하여 감염되지 않은 파일 및 삭제된 파일 복원
2. 복구된 .bak 파일을 MSSQL에 적용
3. MSSQL 적용 실패 시, 디지털 포렌식을 통해 .bak 파일 복원
4. 복구된 .bak 파일을 MSSQL에 적용

​

5. 문제 해결 및 데이터 복구 성공!

1차 복구 프로그램을 통해 삭제된 .bak 파일을 복구했으나, MSSQL 적용 과정에서 마지막 단계에서 오류가 발생했습니다. 여러 파일을 복구하여 테스트했으나 동일한 오류가 반복되면서 복구 성공 가능성은 25% 미만으로 떨어졌습니다.

​

<복구 프로그램을 사용하여 .bak 파일을 복구한 장면>

 

<MSSQL 테스트 결과 에러가 발생한 장면>

 

2번째 프로세스인 MSSQL 적용결과 마지막 순간에 인식 에러가 발생하였습니다. 여러 개 파일을 복구하여 테스트 결과 전부 동일한 증상이었습니다.

​

<디지털 포렌식을 통해 백업 파일 탐색>

 

이젠 3차 프로세스인 디지털 포렌식으로 파일을 복구해야 합니다. 정말 복구 가능성이 현저히 낮아졌습니다.

​

포렌식으로 검색결과 다행히 .bak 파일이 존재하였습니다. 다시 복구를 도전해 봤습니다.

​

<디지털 포렌식을 통해 백업 파일 복구 성공 장면>

 

​

디지털 포렌식으로 고객의 가장 중요한 백업파일 복구가 완료되었습니다. 이제 마지막으로 MSSQL에 인식시켜 테스트가 성공하면 됩니다.

​

<MSSQL 인식 테스트에 성공한 모습>

 

​

정말 25% 미만의 가능성이었지만 다행히 MSSQL에서 인식되어, 복구 작업 착수 12시간만에 .bak(데이터 백업 파일) 복원에 성공하였습니다.

 

당장 고객에게 전화하여 저희 NAS에 파일을 업로드 하였으니 다운로드 받아 테스트를 진행하실 것을 요청하였습니다.

 

저희 KRDC 팀들은 끝까지 포기하지 않고 디지털 포렌식 기술을 활용하여 고객의 가장 중요한 백업 파일을 성공적으로 복구했습니다. 최종적으로 MSSQL 인식에도 성공하여 랜섬웨어 공격으로 인해 손실된 데이터를 되찾을 수 있었습니다.

​

6. 고객의 감사 인사

저희 NAS 서버에 업로드한 백업 파일을 다운로드 받아 테스트해 본 고객은 기쁨에 넘친 목소리로 전화를 걸어 백업 파일 인식 성공을 알렸습니다.

​

해커에게 이미 1비트코인을 지불했음에도 불구하고 복호화키를 돌려 받지 못하고, 추가 금액을 요구받는 난감한 상황에서 저희 KRDC의 도움으로 중요한 데이터를 되찾을 수 있었다는 사실에 큰 감사를 표했습니다.

​

7. 교훈 및 랜섬웨어 대응 방법

이번 사례는 랜섬웨어 공격의 위험성과 데이터 백업의 중요성을 여실히 보여 줍니다. 이러한 해킹과 랜섬웨어 감염을 미리 대비하기 위해서는 정기적인 오프라인 백업을 수행하고, 네트워크 보안 설정을 수시로 점검하고 보안 정책을 강화하는 등 적극적인 방어책을 마련해야 합니다. 또한, 랜섬웨어 공격 피해 시에는 즉각 전문가의 도움을 받는 것이 매우 중요합니다.

​

매우 힘든 하루였지만 데이터 복구에 성공하여 보람찬 하루였습니다.

 

급증하고 있는 사이버 해킹 공격과 랜섬웨어 감염에는 제발 미리 대비하시라고 말씀드리고 싶습니다.

​

[랜섬웨어 수습 비용]

랜섬웨어 해커들은 복호화 키 제공 비용으로 최소 1억원 정도 또는 최대 몇 십억원의 금액을 요구하기도 합니다. 최근 미국에서 랜섬웨어 감염으로 미국 전역의 의료 서비스가 마비된 사태에서는 수습 비용으로만 1조원이 넘는 돈이 사용되었다고 합니다.

​(참고 기사: “수습 비용만 1조원”··· 체인지 헬스케어의 랜섬웨어 대참사에서 배워야 할 8가지 교훈)

​

​하지만 문제는 이런 막대한 비용을 지불하여도 복호화 키를 제공하지 않고 해커가 잠적한다거나 추가 비용을 요구하는 사례가 많다는 것입니다. 또한 보안 취약점을 제거하지 않으면 서버 복구후에도 2차, 3차의 랜섬웨어 재감염 사태가 발생할 수 있다는 것입니다. 즉 랜섬웨어에 감염되어 막대한 수습 비용을 쓰는 것보다는 전문가의 컨설팅과 예방 조치를 통해 사전에 랜섬웨어를 예방하는 것이 훨씬 경제적이라는 것입니다.

 

저희 KRDC는 랜섬웨어에 감염된 서버에서 비트락커 복구키 찾기 및 크립토 랜섬웨어(파일 단위 암호화) 감염된 서버에서 데이터 파일 복원을 주요 사업으로 하고있습니다.

 

KRDC는 랜섬웨어 데이터 복구가 끝나면 로그 분석을 통한 랜섬웨어 감염 경로, 원인 분석을 진행한 결과와 디지털 포렌식 분석을 통해 만들어진 랜섬웨어 감염 분석 리포트를 기본적으로 제공하고 있습니다. 또한 랜섬웨어 재감염 방지를 위한 윈도우 서버 설정 가이드라인을 제공하여 고객사의 랜섬웨어 재감염 사고를 방지해 드립니다.

철저한 보안 설정을 통해 랜섬웨어 감염을 사전에 예방하시고, 혹시라도 랜섬웨어에 감염되시면 서버 전원을 즉시 끄시고 저희 KRDC와 함께 문제를 해결하시기 바랍니다.

​

[크립토 랜섬웨어와 비트락커 랜섬웨어의 차이점]

크립토 랜섬웨어와 비트락커 랜섬웨어는 모두 사용자의 데이터를 암호화하여 금전을 요구하는 악성 코드이지만, 작동 방식과 대상, 복구 방법 등에서 차이점을 가지고 있습니다.

​

<출처:  https://phoenixnap.es/blog/ransomware-examples >

 

​

1. 작동 방식

- 크립토 랜섬웨어

• 일반적인 암호화 알고리즘(AES, RSA 등)을 사용하여 개별 파일, 폴더 또는 전체 시스템을 암호화합니다.
• 암호화된 파일은 복구 키 없이는 열 수 없도록 암호화되며, 해커는 암호화 해제 키를 제공하는 대가로 금전을 요구합니다.

​

- 비트락커 랜섬웨어

• 윈도우 운영 체제의 기본 암호화 기능인 비트락커를 악용합니다.
• 공격자는 일반적으로 관리자 권한을 탈취한 후, 합법적인 비트락커 기능을 사용하여 사용자의 데이터 볼륨을 암호화합니다.
• 이후, 암호화 해제 암호를 제공하는 대가로 금전을 요구합니다.

​

2. 대상

• 크립토 랜섬웨어: 일반적으로 개인 사용자, 기업, 의료기관, 정부기관 등을 포함한 모든 유형의 조직을 공격합니다.
• 비트락커 랜섬웨어: 주로 기업과 공공기관을 대상으로 공격하며, 특히 중요한 데이터를 보유하고 있는 조직을 사전에 파악하고 치밀한 설계와 공격 전략을 수립하여 장기간에 걸쳐 공격합니다. 개인 사용자를 공격하는 경우도 있지만, 비트락커 설정에 대한 전문 지식이 필요하기 때문에 크립토 랜섬웨어에 비해 공격 빈도가 낮습니다.

​

3. 복구 방법

• 크립토 랜섬웨어: 일반적으로 백업 파일을 사용하여 데이터를 복구합니다. 백업이 없는 경우, 일부 파일은 무료 복구 도구나 유료 복구 서비스를 통해 복구될 수도 있지만, 대부분의 경우 해커에게 돈을 지불해야만 데이터를 복구할 수 있습니다.
• 비트락커 랜섬웨어: 비트락커 암호화 해제 암호를 확보해야만 데이터를 복구할 수 있습니다. 백업이 있는 경우, 백업에서 해당 암호를 찾을 수 있습니다. 백업이 없는 경우, 공격자에게 돈을 지불하거나 전문가의 도움을 받아 암호를 해독해야 할 수도 있습니다. 다만, 해독이 항상 가능한 것은 아니며, 성공 가능성은 공격자의 암호화 방식에 따라 달라집니다.

​

4. 예방 방법

• 크립토 랜섬웨어 및 비트락커 랜섬웨어 공격을 예방하기 위해서는 다음과 같은 조치를 취해야 합니다.
• 최신 운영 체제 및 보안 패치를 설치합니다.
• 정기적으로 백업을 수행하고 백업 파일을 안전한 곳에 보관합니다.
• 첨부파일이나 링크 클릭, 불법 소프트웨어 설치 등 위험한 행동을 피합니다.
• 방화벽 및 침입 탐지 시스템(IDS)과 같은 보안 솔루션을 사용합니다.
• 직원들에게 랜섬웨어 공격에 대한 교육을 실시합니다.

---

[한국랜섬웨어방어센터]

* 한국랜섬웨어방어센터(KRDC)는 랜섬웨어 감염 대응 및 디지털 포렌식 서비스, 데이터 복구, 디스크 복구, ERP 복구, 랜섬웨어 예방을 위한 소프트웨어 공급과 컨설팅 서비스를 제공하고 있습니다. 랜섬웨어 감염 시 즉시 연락주십시오.

​

또한 랜섬웨어는 무엇보다 예방이 최선의 대응 조치입니다. 랜섬웨어 예방을 위한 윈도우 서버 설정을 미리 조치하면 거의 대부분의 랜섬웨어를 예방할 수 있습니다. 아래 연락처로 문의주시면 현장을 방문하여 랜섬웨어 예방 서비스를 제공해 드립니다.

- 직통 상담 번호: 010-2924-8211

<한국랜섬웨어방어센터(KRDC) 연락처>

 

[출처] 크립토 랜섬웨어 데이터 복구 성공사례|작성자 한국랜섬웨어방어센터