국내에서 가장 많은 피해를 유발하고 있는 Cerber 랜섬웨어(Ransomware) 중 Cerber 4.x / 5.x 버전의 경우 비트코인(Bitcoin) 지불이 이루어지지 않는 경우 파일 복구 방법이 전혀 공개되어 있지 않은 상태입니다.
파일 암호화 후 변경되는 바탕 화면 배경 기준으로 녹색(Green) 메시지를 표시하는 Cerber 5.0.1 버전까지는 암호화 시작 과정에서 다음과 같은 기능이 수행됩니다.
Windows 운영 체제에서 제공하는 볼륨 섀도 복사본(Volume Shadow Copy) 서비스를 통해 시스템 복원을 할 수 없도록 WMI 명령줄 유틸리티를 통해 "C:\Windows\System32\wbem\WMIC.exe shadowcopy delete" 명령어가 수행됩니다.
이를 통해 Cerber 랜섬웨어 감염자가 파일 암호화 후 시스템 복원 기능을 실행하면 기존에 생성된 복원 지점이 모두 삭제되어 동작하지 않는 것을 알 수 있습니다.
그런데 2016년 12월 초부터 변경된 Cerber 랜섬웨어(일명 Red 버전)에 감염될 경우 볼륨 섀도 복사본(Volume Shadow Copy)을 삭제하지 않는 버그(Bug) 또는 기능이 빠진 상태로 파일 암호화가 이루어지고 있습니다.
이런 이유로 시스템 복원 기능을 통해 확인해보면 기존에 생성해둔 시스템 복원점이 정상적으로 표시되는 것을 알 수 있으며, 이를 통해 사용자는 생성되어 있는 시스템 복원점에 존재하는 암호화된 파일의 원본을 복구할 수 있습니다.
이전에 소개를 해드린 ShadowExplorer 프로그램은 생성되어 있는 시스템 복원점에서 특정 파일을 쉽고 빠르게 검색하여 개별 파일을 추출할 수 있는 무료 프로그램입니다.
예를 들어 C 드라이브에 위치한 문서 폴더에 저장된 문서, 사진 등의 파일이 Cerber 랜섬웨어에 의해 암호화된 상태에서 ShadowExplorer 프로그램을 실행하여 기존에 생성된 시스템 복원점을 오픈할 경우 원본 파일이 표시되는 것을 알 수 있습니다.
그 중 복구를 원하는 파일을 선택하여 마우스 우클릭을 통해 "Export..." 기능을 선택하여 임의의 폴더에 파일을 추출하시기 바랍니다.
ShadowExplorer 프로그램을 통해 복구된 한글 문서(.hwp)을 오픈해보면 암호화 이전의 상태로 생성된 것을 확인할 수 있습니다.
단, 해당 방법은 시스템 복원 기능이 반드시 활성화된 상태에서 기존의 복원 지점이 존재해야 한다는 조건이 있으며, 다중 파티션(드라이브)로 구성되어 있는 경우 시스템 복원 기능이 각 드라이브별로 생성되어 있어야 다른 드라이브도 복원이 가능할 수 있습니다.
차후 볼륨 섀도 복사본(Volume Shadow Copy) 삭제 기능이 Cerber 랜섬웨어에 다시 추가될 경우에는 사용할 수 없는 복구 방법이므로 2016년 12월 초부터 현재까지 Cerber 랜섬웨어 Red 버전에 의해 암호화된 경우 잘 활용해 보시기 바랍니다.