[PC가 랜섬웨어에 감염되었을 때 포렌식을 통한 데이터 복구방법]
랜섬웨어 감염으로 소중한 데이터를 잃어버리셨나요? 포기하지 마세요! 이 글에서는 Autopsy를 활용하여 랜섬웨어에 감염된 PC에서 데이터를 복구하는 방법을 단계별로 자세히 알려드립니다.
안녕하세요. KRDC(한국랜섬웨어방어센터)에서 기술을 담당하는 CTO입니다. 저는 IT경력 25년 중 보안 22년, 랜섬웨어 연구 8년, 포렌식분석 4년의 경력을 보유하고 있습니다.
랜섬웨어 복구라는 새로운 분야에서 연구는 2년차이고 나름 성과가 있었습니다. 오늘 여러분에게 알려드리는 글은 개인사용자들이 랜섬웨어에 감염되었을 때 일부라도 복구할 수 있도록 저의 경험을 공유하고자 합니다. 이 글은 중급 이상의 컴퓨터 지식이 있는 사람을 대상으로 작성되었습니다. 때문에 기초적인 컴퓨터 지식에 대한 설명은 생략했습니다.
[디지털 포렌식을 통한 랜섬웨어 DB 복구 프로세스]
이제부터 개인 PC의 랜섬웨어 복구방법에 대해 설명 드리겠습니다.
[1단계: WTG를 이용한 부팅 및 이미지 생성]
랜섬웨어에 감염된 PC는 WTG(Windows To Go)를 이용해서 외장 디스크로 부팅하는 방법이 제일 좋습니다. 왜냐하면 감염된 PC에서는 랜섬웨어 프로세스가 계속 상주하고 있어서 뭔가 작업을 할 때 프로세스가 실행이 안되거나 감염되는 경우가 많습니다.
또한 WTG로 부팅 후 랜섬웨어에 감염된 디스크를 직접 복구하거나 뭔가를 추출하는 방법보다는 감염된 디스크를 이미지작업을 통해서 원본을 유지하는 방법을 추천합니다.
1. WTG를 이용해서 외장 디스크로 부팅한다.
2. FTK Imager를 이용해서 감염대상을 이미지로 만든다.
아래 블로그에 보시면 WTG와 FTK Imager 사용법이 잘 나와있습니다.
https://blog.naver.com/krdc2023/223471986543
[2단계: Autopsy를 이용한 포렌식 분석]
1. 포렌식 툴 Autopsy 프로그램 다운로드
- 랜섬웨어에 감염되지 않은 깨끗한 PC를 준비합니다.
- 깨끗한 PC에서 Autopsy 프로그램을 다운로드 합니다.
https://www.autopsy.com/download/
2. Autopsy를 실행합니다.
[Autopsy 실행 화면]
3. Case Name을 입력하고 Base Directory를 지정
- Case Name은 사용자가 입력하면 됩니다.
- Base Directory는 Autopsy가 이미지를 분석한 정보를 저장하는 디렉토리를 말하는데 기존에 작업해둔 이미지 용량보다 저장공간이 더 커야합니다.
[Case Name 입력]
4. 포렌식 분석정보 입력
[포렌식 분석정보 입력]
포렌식 입력정보는 전문가가 아니면 무시하고 입력하지 않아도 됩니다.
5. 이제부터 분석에 관한 정보를 설정합니다.
6. 소스의 타입을 설정합니다. 우리는 이미지를 선택합니다.
7. 저장해 둔 이미지를 선택합니다.
8. 분석할 항목을 설정 (모바일 제외)
9. 이제 Finish가 나오고 분석이 완료되기를 기다리면 됩니다.
위 그림에서 오른쪽 아래를 보시면 Autopsy가 이미지를 분석한 결과를 퍼센트로 나타내고 있습니다. 저 부분이 70%이상 지나야 그나마 쓸만한 자료가 나옵니다.
[3단계: 파일 복구]
이제부터 포렌식 결과에 따른 랜섬웨어 감염파일 복구를 진행하도록 하겠습니다.
위 그림은 인터넷에서 참조하였습니다.
설명하자면 삭제된 원본을 복구하는 방법입니다. 그래서 우리도 포렌식으로 파일의 흔적을 역추적해서 복구하려는 겁니다.
왼쪽 상단에서 File Type -> By Extension -> Document -> Office 에서 파일을 찾아 Extract 하시면 됩니다. Delete File에서도 찾아서 복구하셔야 합니다.
추가 팁:
- 백업의 중요성: 랜섬웨어 감염에 대비하여 정기적으로 데이터를 백업하는 습관을 들이세요.
- 실수로 파일 삭제하지 않기: 포렌식 분석 과정에서 실수로 파일을 삭제하면 복구가 불가능할 수 있습니다. 주의하여 작업하세요.
결론:
랜섬웨어 감염은 예기치 못한 상황이지만, 포렌식 기술을 활용하면 소중한 데이터를 복구할 수 있습니다. KRDC는 기업의 랜섬웨어 피해 복구를 위한 전문적인 서비스를 제공하고 있습니다. 더 자세한 내용은 KRDC 홈페이지와 블로그를 참고하세요.
항상 말씀드리지만 저희는 암호화된 파일을 복호화 하는 방식이 아닙니다. 랜섬웨어 감염 포렌식 복구는 파일의 기록을 역추적하여 살아있는 파일을 복구하는 방법입니다. 상황에 따라 다르겠지만 저의 경험상 위 글처럼 복구하시면 최소 50% 이상은 복구할 수 있습니다. 여러분에게 행운을 빕니다.
기술에 관한 질문은 아래 명함의 이메일로 문의 주시면 회신드리겠습니다.
[KRDC 연락처 정보]
저희가 운영하는 KRDC(한국랜섬웨어방어센터)는 기업의 DB가 랜섬웨어에 감염되었을 때 포렌식으로 복구하는 비즈니스를 하고 있습니다. Forensic DataBase Recostruct라는 새로운 개념으로 감염된 DataBase를 복구(재건)해 드리고 있습니다. 기업 서버가 랜섬웨어에 감염되었을 때 중요한 데이터를 복구해 드리는 서비스를 제공하고 있습니다. 주변에 많은 추천을 부탁드립니다.
감사합니다.
#랜섬웨어복구 #포렌식 #Autopsy #WTG #데이터복구 #파일복구 #KRDC #개인PC랜섬웨어복구 #WTG부팅방법 #FTKImager사용법
상담 번호 : 070-7747-6000
'KRDC' 카테고리의 다른 글
| 가상화 솔루션 VHDX 랜섬웨어 복구 방법 (0) | 2025.01.02 |
|---|---|
| ERP MSSQL DB 랜섬웨어 복구 성공사례 (0) | 2024.12.18 |
| [긴급] 윈도우 시스템 에러로 Bitlocker(비트락커) 실행 될 경우 복구 방법! (26) | 2024.10.07 |
| 랜섬웨어에 대한 두려움에서 벗어나기: AI가 해결하는 BitLocker 랜섬웨어 복구 (0) | 2024.08.30 |
| 제조기업의 랜섬웨어 재발 방지 조치가 꼭 필요한 이유 (0) | 2024.08.16 |
