랜섬웨어 복구 전문업체가 필요한 이유!!

안녕하세요~ 
오렌만입니다. 오늘 날씨 진짜 춥네요
이제 남들 눈치 안보고 패딩을 꺼내입을
시간이 온것 같습니다.이번주말 지나면
바로 패딩 게시해야겠어요 다들 준비 되셨쭁?

 

오늘은 어떤 포스팅을 진행해볼까 고민하다가
제가 요즘 너무 it 제품이나 정보 중심의 포스팅만 진행한 것 같아서
오랜만에 랜섬웨어 복구에 대한 포스팅을 진행해 보려고 합니다.
이유는 요즘 랜섬웨어 문의가 너무 많이 들어와요ㅠㅠ
종류도 다양합니다.. 매그니베르가 한참 들어올때가 있었는데

 

이제는 하나의 종류에 얽메이지 않고 락비트나 블루스카이
활동을 잠정적으로 멈춘줄 알았던 종류들까지
튀어나와서 범행을 이어가고 있습니다.
해커들에게 악성코드 공격을 받으신 분들은
해결법을 찾지위해 복구 방법에대해 많이들 서치해 보실텐데요?

 

여러가지 글들이 많겠지만 대부분은 개인적으로 해결이 불가능하며
전문 데이터 복구를 진행하는 업체를 통해서만
랜섬웨어를 해결할 수 있다고 뜰겁니다.
그래서 전문업체에 전화를 해보면.. 업체 자체적으로 풀 수 있는 방법은없고
유포시킨 해커들과 복호화 키 거래를 통해 대행작업만 진행한다고 안내 받을겁니다.

 

도대체 왜?! RANSOMWARE는 해커를 제외하고 자체적으로 풀 방법이 없으며
복원하기 위해 키 거래를 해야한다는데 전문 업체에서는 이 과정을
어떻게 진행을 하는걸까요..? 개인적으로 진행할 순 없는걸까요..?에대한
이야기를 오늘 진행해 보려고 합니다!
감염경로는 이전 블로그 글들에서 많이 적어놔 패스 하도록 하겠습니다.

 

랜섬웨어는 다들 아시겠지만 pc에 저장된 데이터를 암호화시켜서
사용자가 특정키를 확보하지 못하면 데이터에 접근하지 못하도록 만드는
악성 바이러스 입니다. 예전에는 솔루션을 개발하기도 했었는데
2018년 이후로는 솔루션 개발이 완전히 멈춰 있습니다.
그 이유는 해커들이 사용하는 암호 알고리즘 때문입니다. 

 

암호 알고리즘의 볼래 용도는 파일을 잠구기위한 보안용으로 개바라된건데
이걸 범죄에 악용하다보니 암호를 풀기위해 대입 가능한 숫자가
천문학적으로 늘어나게 되었고 무작이 대입 즉
일일히 대입해서 솔루션을 개발하는데 한개가 생겨 중지가 된것입니다.
솔루션 개발이 중지되었기에 해커와의 거래를 제외하고
자체적으로 풀 수 있는 방법이 사라지게 된것입니다.

 

개인적인 자료라면 비용이 만만치 않다보니깐 추천드리진 않습니다.
저희 업체도 대부분은 회사나 기업체에서 랜섬웨어에 감염되어 오시고
업무관련된 잘는 당장의 수익과도 직결이 되다보니
이런경우라면 대행 작업을 진행하고 있는데요! 요즘엔 가상화페 거래가
활발하다보니 대행하는 업체가 적지 않습니다만..

 

아무 업체나 방문하지는 않으시는게 좋습니다.
복호화 틀을 거래하는것도 그렇고 랜섬웨어 종류마다
키 적용방식도 다릅니다 그래서 꼭 많은 작업을 해본곳에 방문하셔야해요ㅠㅠ
해커들의 먹튀우려도 있어서 이부분을 꼼꼼하게 점검하는
곳에 방문하셔야합니다. 그래서 개인적으로 복원 시도하는걸 말리는
이유도 여기에 있습니다!! 비트코인 거래소가 국내에 있는것도아니라
거래 자체가 개인적으로 어렵기도 하구요!

 

오늘은 랜섬웨어 복구 과정을 간단하게 소개해 보려고 합니다. 
방법을 알아야 신뢰할 수 있으실것 같아서 만약 전문 업체에 대행을 맡기시면
이러한 방법으로 진행된다를 아시면 될 것 같습니다.
이 관련된 영상은 복구천재 꼬마신발님 유튜브에 영상 올려져있습니다.
제 포스팅보다 자세한 설명을 원하시면 방문해서 영상 시청 부탁드립니다!

 

우선 랜섬웨어에 감염되면 가장 중요한게 감염 프로세서를 멈추는 일입니다.
멈추지않으면 새로 저장되는 파일들까지 지속적으로 감염시킬 위험이 있습니다.
ctrl+shift+esc 눌러 작업관리자를 불러옵니다. 작업관릴자에서
평소 보지 못했던 프로그램이 있는지 확인해 보고
evrything 이라는 프로그램을 다운받아 중복감염은 없는지 한번 더 체크해 줍니다,

 

수정날짜를 통해 공격받은 시간대를 유추하고 WIN+R 눌러 레지스트리 편집기를
실행해 줍니다 HKEY_CURRENT_USER > SOFTWARE > MICROSOFT > WINDOWS > 
CURRENTVERSION > RUN으로 이동해 줍니다.  이 목록에서 이상하게 생긴건
지워주는게 좋습니다 숙주파일일 가능성이 큽니다. 위치를 찾아서 필요한파일은
남겨두시되 이상한 파일은 즉시 삭제하셔야 합니다.

 

실은 이 과정이 어렵기때문에 복구 작업을 진행하는게 아니라면
전체적으로 포맷하는게 가장 깔끔한 방법이긴 합니다.
보통은 이렇게 숙주파일을 제거한 다음에 랜섬웨어 복호화키 거래를 하게 됩니다,
먹튀 하지 않는 정상적인 해커라면 이런식의 키 값을 전달해 줍니다.
복호화툴 안에 수동으로 키값을 입력하는 형태도 있고
키값이 프로그램안에 포함되 실행만 해도 되는 경우가 있습니다.

 

대행업체들은 이 과정을 진행해 RANSOMWARE 복구를 진행하는것입니다.
그리고 해커에게 신뢰라는 말이 웃기긴하지만..
신뢰성도 충분히 검증하고 진행하고 있구요!
되도록이면 RANSOMWARE의 공격을 받아도 금전적 피해가 없도록
중요파일은 따로 백업하는게 중요하지만 만약 이미 공격 당했고
복구가 꼭 필요하다면 신뢰도 있는곳에 의뢰 하시기 바랍니다~!