본문 바로가기

벌새::Software

ShadowExplorer 프로그램을 이용한 랜섬웨어(Ransomware) 암호화 파일 복구 방법

반응형

최근 국내 인터넷 사용자들 중 보안 패치를 제대로 설치하지 않은 상태로 웹 사이트를 방문하는 과정에서 취약점(Exploit)을 이용한 랜섬웨어(Ransomware) 악성코드에 감염되어 문서, 사진, 동영상, 압축 파일 등 중요 파일이 암호화되어 피해를 당하는 사례가 증가하고 있습니다.

랜섬웨어(Ransomware) 악성코드에 감염된 경우 현재 인터넷 상에 공개된 복호화 도구로는 암호 해제가 거의 불가능한 것이 사실이며 암호화된 파일이 자신의 인생을 좌지우지하는 수준의 피해를 당했다면 빠른 시간 내에 공격자가 요구하는 금액을 지불하여 복구하는 것이 어쩌면 현명한 선택일 수도 있습니다.

 

일반적으로 공격자가 요구하는 금액은 150 시간 수준 이내에 $500 ~ $10,000 (50만원 ~ 1,000만원)까지 요구할 수 있으며, 정해진 기간이 경과할 경우에는 2배의 요금을 지불해야하는 정책으로 운영되고 있습니다.

 

그런데 최근 확인된 정보에 따르면 일부 랜섬웨어(Ransomware) 악성코드에 의해 암호화된 파일을 ShadowExplorer 프로그램을 통해 복구가 가능했다는 사실이 있기에 관련 부분을 살펴보도록 하겠습니다.

 

단, 다음의 내용은 매우 제한적인 환경에서만 유효할 수 있으며 상당수의 랜섬웨어(Ransomware) 악성코드는 감염시 Windows 운영 체제에서 제공하는 볼륨 섀도 복사본(Volume Shadow Copy) 서비스를 이용할 수 없도록 설정을 변경합니다.

Windows 운영 체제 기본값에서는 시스템 보호 기능을 통해 PC를 사용하는 과정에서 문제가 발생할 경우 특정 복원 지점으로 복구를 할 수 있도록 시스템 복원 기능이 활성화되어 있습니다.

 

해당 기능은 시스템 시작시 "VSS (표시 이름 : Volume Shadow Copy)" 이름으로 등록된 볼륨 섀도 복사본 서비스가 담당하고 있으며, 이런 기능에 대응하는 부분을 제한할 목적으로 랜섬웨어(Ransomware) 악성코드는 감염 과정에서 기능을 해제하고 기존에 백업된 복원 지점을 제거할 수 있습니다.

 

하지만 랜섬웨어(Ransomware) 악성코드에 감염된 피해자라면 우선은 시스템 복원 기능을 통해 통해 복구가 가능한지 점검할 필요가 있으며, 일부 피해자의 경우 ShadowExplorer 프로그램을 이용하여 일부 파일에 대해서는 복구에 성공하였다고 합니다.

 

ShadowExplorer 프로그램을 이용한 파일 복구시에는 반드시 파일 암호화를 시도하는 랜섬웨어(Ransomware) 악성코드를 제거한 후 진행하시기 바랍니다.

만약 랜섬웨어(Ransomware) 악성코드에 감염된 상태에서 기존에 백업된 복원 지점이 정상적으로 존재할 경우 ShadowExplorer 프로그램을 통해 확인해보면 시스템 복원 지점 목록이 생성되는 것을 알 수 있습니다.

감염 이전의 복원 지점을 선택한 후 복구를 원하는 파일을 찾아 마우스 우클릭을 통해 Export... 메뉴를 실행하여 원하는 폴더에 파일을 추출하시면 정상적으로 파일을 복구할 수 있습니다.

 

단지 ShadowExplorer 프로그램을 활용한 파일 복구 방법은 ① 기존에 시스템 복원 기능이 활성화되어 있던 PC 환경 ② 감염된 랜섬웨어(Ransomware)가 볼륨 섀도 복사본 서비스를 통해 생성된 복원 지점을 삭제하지 않은 환경이라는 제한적 요소에서만 활용 가능하지만 점검해볼 필요는 분명히 있습니다.

728x90
반응형
  • 랜섬웨어가 외장하드도 암호화시키는지 궁금하네요..
    저는 지금 확인해보니 c드라이브만 시스템복원설정이 되어잇는데
    외장하드인 E드라이브도 복원설정을 해놓는게 좋을까요?

  • gslee 2015.10.28 15:47 댓글주소 수정/삭제 댓글쓰기

    정보 감사합니다.
    혹시 vss삭제된 시스템에서도 파일복구가 가능한 툴이나 방법이 있을까요?

    • 그런 파일 복구툴은 일반적으로 삭제된 파일을 복구하는 도구(파이널 데이터 등)를 말씀하시는 것 같습니다.

      문제는 랜섬웨어가 삭제된 파일 복구툴로 복구를 하지 못하게 원본 파일 삭제시 보안 삭제를 하거나 암호화해서 삭제하기 때문에 어려울 수 있다고 알고 있습니다.

  • gslee 2015.10.28 16:33 댓글주소 수정/삭제 댓글쓰기

    답변감사합니다.
    그런데 제가 말씀드린 의도는 최근 크립토락커 변종 등의 랜섬웨어는 vss를 삭제하여 원본파일 복구시점으로 돌아가는 것을 불가능하게 하기 때문에 이렇게 파일을 복원하는 게 불가능하며 남는 방법은 암호화된 파일을 직접 복구하는 방법뿐이라고 알고 있는 데 혹시 이 암호화 된 파일을 복구하는 툴이나 방법이 있는지 말씀드린 건데요
    제가 글이 짧아 의도한 바를 잘 전달드리지 못했네요ㅎㅎ

    • 방법은 요구하는 돈을 지불하면 1일 이내에 제공되는 복구툴을 이용하는게 가장 빠른 방법일 겁니다. 그 외의 방법은 없다고 보시는게 좋을 것 같습니다.

  • gslee 2015.10.28 17:28 댓글주소 수정/삭제 댓글쓰기

    답변 감사합니다.

  • 저 걸렸는데ㅠㅠ 포맷하기전에 정상적으로 열리는 파일들을 usb에 저장했는데 포맷한 컴퓨터에 이 usb를 연결해서 파일들을 옮겨서 사용해도될까요?

  • 김주현 2015.11.14 18:45 댓글주소 수정/삭제 댓글쓰기

    복원지점 안되어있으면 파일 복구 안되는 거죠 ? ㅠㅠㅠㅠ
    10월 29일 파일 되돌리고 싶은데 export 해도 복구가 안되네요 ㅠㅠㅠ

  • shadow explorer깔았는데 프로그램에 아무것도 뜨지않네요 시스템복원설정에 c로컬디스크 보호해제한상태인데도 왜 프로그램이 다공백으로되어있을까요?

  • 눌러도 뜨는게 없는 빈화면인데 뭘 눌러야 하나요?
    왼쪽 c/d드라이브 표시만 나오고...

    • 해당 프로그램은 시스템 복원 기능이 활성화된 경우에만 표시됩니다.

      만약 랜섬웨어 감염으로 인해 시스템 복원이 비활성화 및 삭제된 경우에는 사용할 수 없습니다.

  • 아스트레스 2016.08.29 20:29 댓글주소 수정/삭제 댓글쓰기

    readme라는 랜섬웨어를 몇몇개 삭제하고 완벽하게 삭제하지 않고서 shadowexplore로
    복구시점이 3개 8월 12일 ,20일, 28일이 존재하는데 셋 다 들어가서 export까지는 완벽한데
    export된 파일이 열어도 암호화된 파일처럼 안뜨는건.. 시스템 복구를 지워버린 랜섬웨어인가요? 아니면 랜섬웨어를 뿌리뽑아야 복구가 가능한건가요?
    ...도와주세요 제 잘못으로 몇년간 있던 추억이 날아가서 가족들에개 미안하고 좌책감때문애 공부도 안돼요.. 아예 포맷하거나 복원하기위해 업체에 맡기는 방법밖에없는건가요 ㅠ

    • 이런 방식으로 복구할 수 없게 아마도 vssadmin delete shadows /all 명령어로 삭제를 해서 그럴 듯 합니다.

      복구 업체에 맡겨도 결국 그들이 랜섬웨어 제작자에게 돈을 지급하고 복구키를 받는 방식으로 진행하기 때문에 더 많은 돈이 들어갈겁니다.

  • 아스트레스 2016.08.29 21:08 댓글주소 수정/삭제 댓글쓰기

    오늘 점심쯤에 아이유 기사를 보고있는데 window dlll 파일같은거를 설치하라고 떠서 아니오를 몇십번눌러도 계속 떠서 수락을 눌렀습니다.
    보통 이런식으로 짜증나게한 다음에 수락을 누르면 칩입하는 형식인가요?
    그리고 그 기사를 보고있는 사람 모두 랜섬웨어에 걸려야 하는거 아닌가요...?
    지금 새로 파일을 깔아보았을땐 암호화가 안되는데.. readme가 퍼질 당시에있던 파일만 암호화되고 지금 이후 새 파일은 암호화 되지않는건가요?
    물어볼 곳이 없어서 질문이 많아 죄송합니다.

    • 말씀하신 방식은 소프트웨어 취약점을 통한 자동 감염 방식입니다.

      해당 사이트 방문자 중에서 보안 업데이트를 제대로 하지 않은 PC 환경에서만 자동 감염됩니다.

      그러므로 윈도우, Flash, 웹 브라우저 등에 대해 사용하시는 버전이 최신 버전인지 반드시 확인하시기 바랍니다.

      일반적으로 1회 감염 후 파일 암호화를 하는 악성 파일이 자동으로 삭제될 수도 있고 부팅 시마다 자동으로 실행되어 반복적으로 행위를 수행할 수도 있습니다.

      그러므로 백신을 이용하여 정밀 검사를 해보시기 바랍니다.

  • 아스트레스 2016.08.29 22:02 댓글주소 수정/삭제 댓글쓰기

    안그래도 윈도우 업데이트 중 보안업데이트가 안되어있는것을 아까 발견했어요..
    답변해주셔서 감사합니다.

  • 랜섬웨어 십새 2017.02.08 22:45 댓글주소 수정/삭제 댓글쓰기

    일단 앱채크라는 프로그램으로 랜섬웨어 프로그램은지우긴한거같은데, 파일들은아직 암호화네요 이럴때 shadow explorer로 해결가능한가요?

    • 앱체크 설치 이전에 랜섬웨어에 의해 암호화된 경우에는 복구할 수 없습니다.

      그리고 시스템 복원 기능이 켜져 있다면 ShadowExplorer 프로그램으로 한 번 시도해 보시기 바랍니다.

  • 비밀댓글입니다

    • 복원 시 파일이 암호화가 풀려서 정상적으로 보인다는 의미가 파일명 기준으로 말씀하신건가요?

      복원 이미지 내에서는 파일명이 정상적으로 보일 수 있겠지만 추출(Export)할 경우 깨질 수 있습니다.

      특히 파일 용량이 클 경우에는 깨질 확률이 있습니다.

    • 2017.03.25 00:46 댓글주소 수정/삭제

      비밀댓글입니다

    • 추출한 파일이 기존 파일명과 일치한다고 하더라도 깨진 상태로 복구될 수도 있습니다.ㅠ

      단지 의심되는 부분은 실제 정상적인 기존 파일로 복구되었는데 파일을 열면 연결할 수 없다고 나오는 부분이 파일을 여는 프로그램이 문제있어서 발생할 수 있으므로 다른 PC에서 추출한 파일을 열어보시기 바랍니다.

      간혹 랜섬웨어 감염으로 정상적인 프로그램 관련 파일이 훼손될 수도 있습니다.

      1. MZK 검사를 통해 악성 파일이 제거되었다면 포맷할 필요는 없지만 이런 랜섬웨어의 감염 원인이 보안 업데이트를 제대로 하지 않았기 때문이므로 Windows 업데이트 및 Adobe Flash Player 최신 버전 업데이트 등을 반드시 하시기 바랍니다.

      2. 감염된 파일과 랜섬웨어 메시지 파일을 따로 백업해 두었다가 차후 복구툴이 나오면 복구하시면 됩니다.

  • 꾸이영 2017.04.17 14:25 댓글주소 수정/삭제 댓글쓰기

    랜섬웨어 바이러스에 감염돼서 이 방법으로 복구하려했는데 d드라이브는 살릴 수 없나요?c만 뜨고 d는 뜨질 않네여 ㅠ

  • 2017.07.10 14:53 댓글주소 수정/삭제 댓글쓰기

    섀도우익스플로어가 안깔려요