본문 바로가기
랜섬웨어 정보

윈도우서버 비트락커 랜섬웨어 감염 예방과 복구 방법 [2편]

KRDC 2024. 1. 22. 14:17

비트락커(BitLocker) 랜섬웨어 감염 시 외장형 부팅 Windows Server로 복구하기

비트락커(BitLocker) 랜섬웨어는 윈도우(Windows)의 디스크 암호화 기능인 BitLocker를 악용한 랜섬웨어입니다. 감염되면 데이터가 암호화되어 사용할 수 없게 되며, 복호화 키를 얻기 위해 금전을 요구받게 됩니다.

오늘은 지난 번 1편에 이어 비트락커(BitLocker) 랜섬웨어에 감염되었을 경우 자세한 복구 방법을 알려드리겠습니다.

 

지난 글 : 윈도우서버 비트락커 랜섬웨어 감염 예방과 복구 방법 [1편]

 

[복구에 필요한 장비]

1) 외장형 SSD 또는 HDD 1TB 이상 추천

2) 동일한 Windows Server ISO File

3) Windows To go 프로그램 Rufus 다운로드 (외장형 부팅 가능 프로그램)

4) 디지털 포렌식 도구들

1. 외장형 부팅 Windows Server 설치

비트락커(BitLocker) 랜섬웨어에 감염되면 기존 디스크로 부팅이 불가능합니다. 따라서 외장형 디스크에 Windows Server를 설치하여 부팅해야 합니다.

Rufus 프로그램을 사용하여 Windows Server ISO 파일을 외장형 SSD 또는 HDD에 설치할 수 있습니다. Rufus 프로그램은 아래 링크에서 다운로드할 수 있습니다.

[Rufus 프로그램 실행화면 1]

Rufus 프로그램을 실행하고 다음과 같이 설정합니다.

  • 장치: OS를 설치할 외장 디스크를 선택
  • 부팅 선택: 다운로드 받은 Server의 ISO 파일을 선택
  • 이미지 옵션: Windows To Go 선택 (중요)
  • 파티션: GPT 선택

[Rufus 프로그램 실행화면 2]

포멧 옵션

  • 볼륨레이블 : 각자 원하는 이름으로 작성
  • 파일 시스템 : NTFS

시작을 클릭하고 설치하면 간단한 질문과 함께 외장형 SSD, HDD에 Windows Server가 설치됩니다. 설치된 외장형 디스크를 서버에 연결 한 후 부팅하면 CMOS Setup으로 들어가셔서 부팅 순서를 OS가 설치 된 외장형 디스크를 선택해 주시면 됩니다.

[CMOS Setup의 예시1]

상기의 화면은 서버마다 다른 화면이 나올 수 있습니다.

[CMOS Setup의 예시2]

CMOS에서 부팅순서를 변경하는 방법과 부팅 시 부팅 옵션에 부팅순서를 임시로 변경할 수 있는 방법이 있습니다. 임시부팅은 재부팅 후 원복됩니다. 서버는 주로 F6 버튼이나 F11 버튼이 부팅순서를 임시로 변경할 수 있는 키 입니다. 이것도 서버마다 다를 수 있습니다.

2. 외장형 디스크로 부팅

[부팅 후 드라이브 인식 예시 화면]

외장형 디스크로 부팅이 되면 기존 서버의 C드라이브는 D드라이브 또는 설치 방법에 따라 E드라이브로 인식됩니다. 금색 자물쇠 아이콘으로 디스크가 표시된다는 것은 BitLocker로 잠겨있다는 표시입니다.

3. 디지털 포렌식으로 BitLocker 풀기

외장형 디스크로 부팅 후 잠겨있는 드라이브는 디지털 포렌식을 통해 비트락커(BitLocker)를 해제 수 있습니다.

비트락커(BitLocker)로 잠겨있는 드라이브가 풀리면 위 그림처럼 은색으로 표시됩니다. 이후에 BitLocker 기능을 해제하시면 됩니다. 디지털 포렌식에 대한 전문적인 기술과 경험이 없으시다면 KRDC에 문의하는것이 해결방법입니다. 상담 전화번호는 아래에 있습니다.

3. BitLocker 기능 해제

BitLocker 풀기에 성공한 경우, BitLocker 기능을 해제해야 합니다.

Windows Server에서 BitLocker 기능을 해제하려면 다음과 같이 진행합니다.

  • 시작 메뉴에서 제어판을 실행합니다.
  • 시스템 및 보안을 클릭합니다.
  • BitLocker 드라이브 암호화를 클릭합니다.
  • 잠금 해제할 드라이브를 선택합니다.
  • BitLocker 끄기를 클릭합니다.

[주의 사항]

  • 외장형 부팅 Windows Server를 설치할 때는 기존 서버와 동일한 버전의 Windows Server를 사용해야 합니다.
  • 디지털 포렌식은 복잡하고 시간이 많이 소요될 수 있습니다.
  • 디지털 포렌식을 수행하시기 어려울 경우에는 한국랜섬웨어방어센터로 연락하셔서 전문가의 컨설팅을 받으시길 바랍니다. 디스크 오류나 포맷으로 인해 영구적으로 복구를 하지 못하는 경우가 생길 수 있기 때문입니다.

[결 론]

BitLocker 랜섬웨어에 감염되면 데이터를 복구하기 어려울 수 있습니다. 따라서 감염을 예방하기 위해 다음과 같은 조치를 취하는 것이 좋습니다.

  • BitLocker를 활성화하고 강력한 복구 키를 백업합니다.
  • 랜섬웨어 방지 프로그램을 설치하고 최신 버전을 유지합니다.
  • 정기적으로 백업을 수행합니다.

 

[한국랜섬웨어방어센터]

* 한국랜섬웨어방어센터(KRDC)는 랜섬웨어 감염 대응 및 디지털 포렌식 서비스, 데이터 복구, 디스크 복구, ERP 복구, 랜섬웨어 예방을 위한 소프트웨어 공급과 컨설팅 서비스를 제공하고 있습니다. 랜섬웨어 감염 시 즉시 연락주십시오.

또한 랜섬웨어 감염 예방을 위한 네트워크 점검 및 보안 조치 서비스도 제공하고 있습니다. 아래 전화번호로 연락주시면 현장을 방문하여 즉각적인 서비스를 제공해 드립니다.

 

* 직통 상담 번호: 010-2924-8211

<랜섬웨어 복구 및 예방 서비스 담당자 연락 번호>

 

태그: #랜섬웨어, #랜섬웨어공격, #랜섬웨어복구, #보안, #정보보안, #중소제조, #ERP, #KRDC

'랜섬웨어 정보' 카테고리의 다른 글

서브웨이 랜섬웨어 공격, 민감한 데이터 유출...몸값 700만 달러 요구  (0) 2024.01.29
랜섬웨어 복구를 아무 업체에게나 맡기면 안 되는 이유  (0) 2024.01.22
골프존 랜섬웨어 감염사태, 원인과 현황, 재발 방지 방안  (0) 2024.01.22
윈도우서버 비트락커 랜섬웨어 감염 예방과 복구 방법 [1편]  (0) 2024.01.22
중소기업에 집중되고 있는 랜섬웨어 피해 사례 급증, 예방과 대응이 중요합니다!  (2) 2024.01.22

'랜섬웨어 정보' Related Articles

티스토리툴바