최근 국내 인터넷 사용자들 중 보안 패치를 제대로 설치하지 않은 상태로 웹 사이트를 방문하는 과정에서 취약점(Exploit)을 이용한 랜섬웨어(Ransomware) 악성코드에 감염되어 문서, 사진, 동영상, 압축 파일 등 중요 파일이 암호화되어 피해를 당하는 사례가 증가하고 있습니다.
랜섬웨어(Ransomware) 악성코드에 감염된 경우 현재 인터넷 상에 공개된 복호화 도구로는 암호 해제가 거의 불가능한 것이 사실이며 암호화된 파일이 자신의 인생을 좌지우지하는 수준의 피해를 당했다면 빠른 시간 내에 공격자가 요구하는 금액을 지불하여 복구하는 것이 어쩌면 현명한 선택일 수도 있습니다.
일반적으로 공격자가 요구하는 금액은 150 시간 수준 이내에 $500 ~ $10,000 (50만원 ~ 1,000만원)까지 요구할 수 있으며, 정해진 기간이 경과할 경우에는 2배의 요금을 지불해야하는 정책으로 운영되고 있습니다.
그런데 최근 확인된 정보에 따르면 일부 랜섬웨어(Ransomware) 악성코드에 의해 암호화된 파일을 ShadowExplorer 프로그램을 통해 복구가 가능했다는 사실이 있기에 관련 부분을 살펴보도록 하겠습니다.
단, 다음의 내용은 매우 제한적인 환경에서만 유효할 수 있으며 상당수의 랜섬웨어(Ransomware) 악성코드는 감염시 Windows 운영 체제에서 제공하는 볼륨 섀도 복사본(Volume Shadow Copy) 서비스를 이용할 수 없도록 설정을 변경합니다.
Windows 운영 체제 기본값에서는 시스템 보호 기능을 통해 PC를 사용하는 과정에서 문제가 발생할 경우 특정 복원 지점으로 복구를 할 수 있도록 시스템 복원 기능이 활성화되어 있습니다.
해당 기능은 시스템 시작시 "VSS (표시 이름 : Volume Shadow Copy)" 이름으로 등록된 볼륨 섀도 복사본 서비스가 담당하고 있으며, 이런 기능에 대응하는 부분을 제한할 목적으로 랜섬웨어(Ransomware) 악성코드는 감염 과정에서 기능을 해제하고 기존에 백업된 복원 지점을 제거할 수 있습니다.
하지만 랜섬웨어(Ransomware) 악성코드에 감염된 피해자라면 우선은 시스템 복원 기능을 통해 통해 복구가 가능한지 점검할 필요가 있으며, 일부 피해자의 경우 ShadowExplorer 프로그램을 이용하여 일부 파일에 대해서는 복구에 성공하였다고 합니다.
ShadowExplorer 프로그램을 이용한 파일 복구시에는 반드시 파일 암호화를 시도하는 랜섬웨어(Ransomware) 악성코드를 제거한 후 진행하시기 바랍니다.
만약 랜섬웨어(Ransomware) 악성코드에 감염된 상태에서 기존에 백업된 복원 지점이 정상적으로 존재할 경우 ShadowExplorer 프로그램을 통해 확인해보면 시스템 복원 지점 목록이 생성되는 것을 알 수 있습니다.
감염 이전의 복원 지점을 선택한 후 복구를 원하는 파일을 찾아 마우스 우클릭을 통해 Export... 메뉴를 실행하여 원하는 폴더에 파일을 추출하시면 정상적으로 파일을 복구할 수 있습니다.
단지 ShadowExplorer 프로그램을 활용한 파일 복구 방법은 ① 기존에 시스템 복원 기능이 활성화되어 있던 PC 환경 ② 감염된 랜섬웨어(Ransomware)가 볼륨 섀도 복사본 서비스를 통해 생성된 복원 지점을 삭제하지 않은 환경이라는 제한적 요소에서만 활용 가능하지만 점검해볼 필요는 분명히 있습니다.