최근 인터넷에 올라온 글을 보던 중 Wise Folder Hider 프로그램을 사용하던 중 랜섬웨어(Ransomware) 감염 피해를 당하였는데 Wise Folder Hider 프로그램 자체도 파일이 암호화된 문제로 기존에 보호하던 파일들이 어떻게 처리되었는지 사용자가 확인이 어렵다는 글이 있었습니다.
그래서 Wise Folder Hider 프로그램을 이용하여 실제 랜섬웨어 감염 시 보호가 이루어질 수 있는지 여부와 프로그램 자체가 암호화되어 실행되지 않을 경우 해결할 방법은 있는지 살펴보도록 하겠습니다.
참고로 Wise Folder Hider 프로그램은 무료/유료 버전이 존재하며 이 글에서는 무료 버전을 사용하여 테스트를 진행하였습니다.
Wise Folder Hider 프로그램을 최초 설치한 후에는 반드시 Windows 재부팅을 요구하며 이후 첫 실행 시 로그인 비밀번호 생성을 요구하고 있습니다.
만약 사용자가 로그인 비밀번호를 생성한 후 분실한 경우에는 제조사에서는 유료 구매를 할 경우 자동 암호 재설정 서비스를 제공한다고 밝히고 있습니다.
Wise Folder Hider 프로그램이 실행된 화면에서는 사용자가 숨기고 싶은 파일 또는 폴더를 해당 창에 Drag & Drop 방식으로 추가하면 자동으로 숨김 처리가 이루어지는 동작 방식입니다.
테스트에서는 D 드라이브에 위치한 "개인 자료" 폴더를 숨김 처리를 하였으며, 내부에는 다수의 폴더와 파일들이 존재합니다. 또한 파일 또는 폴더 숨김 처리 시 마우스 우클릭 방식으로 Wise Folder Hider 프로그램을 실행할 수 있습니다.
Wise Folder Hider 프로그램에 등록된 "D:\개인 자료" 폴더의 상태는 숨김 상태로 처리되며, 작업 메뉴에서는 열기 또는 숨김 해제를 통해 즉시 숨김 해제 처리가 가능합니다.
또한 추가적으로 암호 설정을 할 경우에는 숨김 처리된 폴더 접근 시 추가적인 비밀번호를 입력해야 하며, 파일 암호화 메뉴는 유료 버전에서만 사용이 가능합니다.
만약 Wise Folder Hider 프로그램에서 열기 또는 숨김 해제를 한 경우에는 Windows 탐색기에서 정상적으로 폴더 및 내부 파일이 표시되므로 보호 상태가 아니므로 주의하시기 바랍니다.
정상적으로 Wise Folder Hider 프로그램을 통해 "D:\개인 자료" 폴더가 숨김 처리된 경우에는 Windows 탐색기를 통해서는 표시되지 않는 것을 알 수 있습니다.
1차 테스트에서는 GlobeImposter 랜섬웨어 실행을 통해 D 드라이브에 존재하는 파일들이 .[a.wyper@bejants.com].xrp 파일 확장명으로 암호화 처리된 것을 알 수 있으며, 랜섬웨어 동작 후 Wise Folder Hider 프로그램을 통해 숨김 처리된 폴더를 해제한 후 내부 파일을 확인해보면 보호가 된 것을 알 수 있습니다.
그런데 인터넷에 올라온 글처럼 일부 랜섬웨어(Ransomware)의 경우에는 데이터 파일 외에도 PC에 설치된 프로그램 파일(.dll, .exe, .sys 등)까지 함께 암호화하는 경우가 존재하며, 2차 테스트에서는 CrySis 랜섬웨어를 이용하여 프로그램 폴더 내에 생성된 Wise Folder Hider 프로그램 관련 파일(C:\Program Files (x86)\Wise\Wise Folder Hider)까지 암호화된 것을 알 수 있습니다.
이렇게 프로그램까지 암호화된 경우에는 Wise Folder Hider 프로그램 실행 자체가 되지 않는 문제가 발생하며 재설치도 불가능한 상태입니다.
우선은 다른 툴(Tool)을 이용하여 Wise Folder Hider 프로그램에 의해 숨김 처리된 폴더 및 내부 파일은 어떻게 되어 있는지 확인을 해보면 랜섬웨어에 의해 암호화되지 않고 정상적으로 보호된 상태임을 알 수 있습니다.
이제 실행되지 않는 Wise Folder Hider 프로그램을 복구하기 위해서는 다음과 같은 방식을 이용해 보시기 바랍니다.
(1) 동일한 운영 체제 환경에서 Wise Folder Hider 프로그램을 설치한 후 "C:\Program Files (x86)\Wise\Wise Folder Hider" 폴더 내의 파일 전체를 다른 위치에 복사한 후 압축합니다.
(2) 랜섬웨어에 의해 암호화된 "C:\Program Files (x86)\Wise\Wise Folder Hider" 폴더 내의 파일을 수동으로 삭제합니다.
(3) 다른 PC에서 압축한 파일을 가져와서 "C:\Program Files (x86)\Wise\Wise Folder Hider" 폴더 내에 압축 해제한 파일을 붙여넣기 합니다.
이후 프로그램을 실행하면 최초 등록한 로그인 비밀번호를 물어보며 기존에 숨김 처리한 폴더 또는 파일을 확인할 수 있습니다.
단, "C:\Windows\WiseFs64.sys" 드라이버 파일도 암호화된 경우 함께 다른 PC에서 생성된 파일로 변경해야 할 수 있지만, Windows 폴더 내라는 점과 항상 실행 중인 파일이므로 암호화되지 않을 것으로 보입니다.
마지막으로 Wise Folder Hider 프로그램을 제거 시에는 "제거하기 전에 Wise Folder Hider로 숨긴 모드 파일/폴더를 숨김 해제한 후 제거하십시오." 메시지가 뜨면서 제거가 이루어지지 않습니다.
이 말은 기존에 숨김 처리한 폴더나 파일이 남아있는 상태에서 Wise Folder Hider 프로그램이 제거된 경우에는 재설치를 통해서는 기존의 숨김 파일 또는 폴더를 찾을 수 없다는 의미이므로 사용 시 주의할 필요가 있습니다.
결론적으로 Wise Folder Hider 프로그램과 같은 제3의 파일 또는 폴더 숨김 처리를 지원하는 프로그램으로 보호될 경우 대다수의 랜섬웨어에 의해 파일을 보호할 수 있을 것으로 보이므로 랜섬웨어에 대한 피해를 당한 적이 있는 경우에는 이런 류의 프로그램을 이용해 보시는 것도 추천해 드립니다.