미국의 CISA, 이번 주 화제의 중심인 엑시악스 랜섬웨어 복구 스크립트 발표
랜섬웨어 감염이 유행함에 따라 치료, 복구 보다는 예방이 중요합니다. 랜섬웨어 예방을 위해서는 출처를 알수없는 파일이나 불법 다운로드를 하지대신 모르는 메일의 첨부파일은 반드시 의심하고 열어보지 않는 것이 최선의 방법입니다. 그러나 랜섬웨어에 감염되었다면 처음 복구를 해야 하니 이번 글을 통하여 복구 방법에 관하여 살펴보도록 하자. NOMORERANSOM은 여러나라의 법 집행기관과 정보기술 보안 업체들이 랜섬웨어 범죄 근절을 위해 합심하여 만든 프로젝트로 노모어랜섬 웹사이트는 여러 랜섬웨어 피해자들의 암호화된 데이터를 복구하기위해 만들어졌다.
Synology NAS 버저닝 설정
모든 Synology NAS 모델이 지원되는 것은 아니라고 알고 있으니 사용하시는 모델의 지원 여부를 먼저 확인해보시기 바랍니다. 회사에서 활용 중인 DS414 모델에서 DSM 7.0 버전을 기준으로 간단하게 정리해보겠습니다. 처음 패키지 센터에서 Synology Drive Server를 검색해 설치합니다. 설치 후 Synology Drive 관리 콘솔을 오픈하고 좌측의 팀 폴더를 선택한 뒤 버저닝을 원하는 폴더를 선택하여 “사용” 을 선택해 활성화 시킵니다.
활성화된 폴더를 선택한 상태에서 “버저닝” 을 누르시면 다음과 같이 최대 타입 수와 회전 방침 등 설정할 수 있습니다. 최대 타입 수 및 회전 일 수가 너무 크면 NAS 저장 공간을 꽤나 많이 사용할 수 있으므로 폴더별로 좋은 값을 설정해줍니다.
1.네이버 마이박스 , 구글드라이드 개인용 클라우드 스토리지 사용
랜섬웨어를 대응하기 위해선 주기적인 데이터(파일) 백업이 중요합니다. 랜섬웨어는 랜선이 연결돼어 있지 않으면 감염되지 않습니다. 인터넷 상으로 침투하여 파일을 해킹하곤 합니다. 기업 뿐만 아니라 개인도 타겟이 되기 때문에 늘 유의해야합니다. 그 중 가장 저렴한 비용(일정 저장 용량 무료)으로 사용하여 대응할 수 있는 방법이 네이버나 구글이 제공하는 개인용 클라우드 스토리지를 활용하는 것입니다.
네이버 마이박스는 기초 공급 30GB를 제공합니다. 필요한 파일은 백업하고 , 자동 백업을 설정하여 주기적으로 백업을 해주시기 바랍니다야합니다. 또한 ,크기가 부족하면 월 사용료를 통하여 추가 용량을 사용할 수 있습니다. 구글 드라이브는 기초 공급 15GB를 비용 없이 제공합니다.
CAINE 주의 사항 및 UnBlock 활용 방법
CAINE 운영체제는 포렌식을 위한 운영체제로 컴퓨터에 연결된 모든 저장 장치를 Read Only로 마운트 할 수 있게 합니다. 랜섬웨어로 암호화된 파일이 있는 저장 장치는 모두 Read-Only 상태, 복구 파일이 저장될 외장 하드나 대저장 용량 USB는 Writable로 변경해야 합니다. UnBlock 소프트웨어를 실행하시고 복구 파일이 저장될 외장하드나 대저장 용량 USB만 check 하시고 [OK]를 눌러주세요.주의: 랜섬웨어에 감염된 외장하드는 복구가 필요한 드라이브입니다.
Writable로 변경하시면 해당 디스크를 읽고 쓰면서 데이터가 손실될 수 있습니다. 꼭 Read-Only 상태로 유지해주세요.
외장하드나 대저장 용량 USB Status가 Writable로 바뀌면 UnBlock소프트웨어를 종료합니다.
랜섬웨어 증상
1) 중요 시스템 프로그램이 열리지 않습니다. 명령 프롬프트, 제어판의 일부분 기능, 레지스트리 편요리도구 (regedit), 시스템 부팅 유틸리티 (msconfig), Windows 작 업 관리자, 시작 (Windows 로고 형체 버튼), 학습프로그램 및 기능, 워드패드 (WordPad), 통지 목록 등의 작업이 불가능 합니다. 2) 윈도우 복원 시점이 제거되거나 업데이트를 막아 버린다. 3) 다른 다른 악성코드를 심기도 합니다.
4) CPU와 RAM, 디스크 사크기가 급격하게 증가합니다. 쿨러가 고속으로 회전하며 컴퓨터에서 소음이 나기 시작합니다. 암호화가 완전한 파일들이 들어있는 폴더에 위에서 말한 html과 txt 파일을 생성합니다.
후기 및 예방 대책
첫차례 대규모 랜섬웨어 감염 시에는 정말 아찔할 정도로 많은 자료들의 손실이 있었습니다. 당시에는 NAS의 RAID를 통한 물리적인 HDD 손상만 대비 중이었기 때문에 만약 감염된 PC에 로그인 된 파일서버의 권한이 조금만 더 많았다면 손 쓸 수 없을 정도의 손실이 있었을지도 모릅니다. 그 때의 경험을 통하여 NAS의 버저닝이라는 기능을 새롭게 알게 되었고 즉시 설정을 해놓았던 것이 큰 도움이 되었던 것 같습니다.
이번 랜섬웨어의 종류는 아직 파악이 되지 않았으나 문서와 이미지 문서 위특히 선택적 변조를 하는 것으로 보였으며 네트워크 공유하다 폴더가 아닌 로컬 드라이브로 인식된 것까지만 침투를 하는 것으로 보입니다. 서버 쪽 문서 로그를 보시면 모두 WebDAV 를 통한 변조였기 때문입니다.
자주 묻는 질문
Synology NAS 버저닝
모든 Synology NAS 모델이 지원되는 것은 아니라고 알고 있으니 사용하시는 모델의 지원 여부를 먼저 확인해보시기 바랍니다. 구체적인 내용은 본문을 참고 해주시기 바랍니다.
1네이버 마이박스 , 구글드라이드 개인용 클라우드 스토리지
랜섬웨어를 대응하기 위해선 주기적인 데이터(파일) 백업이 중요합니다. 구체적인 내용은 본문을 참고 해주시기 바랍니다.
랜섬웨어 증상
1 중요 시스템 프로그램이 열리지 않습니다. 구체적인 내용은 본문을 참고 해주시기 바랍니다.
1 thought on “미국의 CISA, 이번 주 화제의 중심인 엑시악스 랜섬웨어 복구 스크립트 발표”