본문 바로가기

IT/컴퓨터

랜섬웨어 감염 파일 드롭박스에서는 복원 가능하네요.

반응형
한동안 블로그를 포스팅하거나 PC를 이용하지 않다가 최근에 컴퓨터를 켜보니 죄다 랜섬웨어에 감염되어 버렸네요. 한참동안 멍하니 넋이 나가 버렸습니다. 예전에 한번 랜섬웨어에 감염된 적이 있었는데 모든 수단과 방법을 동원하여 한달동안 해결책을 찾았으나 결국은 포기하고 말았던 적이 있었는데 그때의 기억이 다시 올라 오네요.

그당시 제가 절실히 느꼈던 것이 데이터를 백업하는 것이 정말 중요하다는 것이었습니다. 그래서 한동안 외장하드에다 백업을 했습니다. 그런데 외장하드에 백업하는 것은 정말 귀찮은 작업이었습니다. 그리고 결정적으로 외장하드까지도 랜섬웨어에 감염되어 버리면 방법이 없다는 것입니다.

최종적으로 선택한 것이 드롭박스라는 클라우드 서비스를 이용하는 것이었습니다. 1테라바이트 유료를 그냥 질러버렸습니다. 그리고 모든 데이타는 드롭박스에 저장해왔습니다. 그렇게 주욱~~~ 지금까지 잘 사용해 왔습니다.



그런데 웬걸 지금 확인해보니까 드롭박스 클라우드 서비스 마저도 랜섬웨어에 감염되어 버렸습니다. Magniber 랜섬웨어는 README.txt 라는 메모장을 남기고, Gandcrab 랜섬웨어는 [확장자명]-DECRYPT.txt 라는 메모장을 남긴다고 하는데 저는 매그니버라는 랜섬웨어에 걸린 듯 합니다. 아래 그림을 보시면 떡~ 하니 readme.txt가 있으니까요.

데이터 파일에 모두 sprksnz 라는 확장자가 붙어 있고 파일이 열리질 않습니다. 그리고 readme.txt 라는 파일이 새로 생겨 있고요. Magniber 랜섬웨어는 안랩에서 복호화하는 복구툴이 있다고 해서 다운받아 복구를 해봤더니 제가 걸린 sprksnz는 복구가 안된다고 나오는 군요.

readme.txt를 열어보니까 아래와 같은 내용이 있습니다. 요약하자면 데이터 파일들이 전부 암호화 되었고 이 암호화된 파일을 풀기위한 유일한 방법은 프라이빗키와 복호화 프로그램을 받는 방법밖에 없다. 그러니 아래의 사이트에 접속해서 돈내고 이것들을 받아라 하는 내용입니다.

한동안 정신이 나갔었지만 드롭박스를 이용하기 시작한 이유가 랜섬웨어에 어느정도 대처가 가능하다는 말은 어렴풋이 듣고 시작했었던 기억이 났습니다. 그래서 구글에서 열심히 검색해 봤더니 정말 방법이 있었네요.

드롭박스는 파일이 변경되면 버전별로 파일을 관리하고 있었던 것입니다. 그래서 암호화 되기 이전의 파일들로 복원버튼만 누르면 복원이 되더군요. 너무 기뻤습니다. 200만원 주고도 복원될지 안될지 모르는 놈들에게 당하지  않았다는 것이 너무 기분이 좋았습니다. 물론 드롭박스가 아닌 pc의 데이터는 살리지 못했지만 pc에는 거의 저장을 하지 않고 있었기 때문에 별 관계가 없습니다.



참고로 드롭박스에서 이전버전으로 복원하는 방법을 말씀드리겠습니다.
우선은 readme.txt 파일들은 모두 삭제해 버리기 바랍니다. 랜섬웨어에 따라 html 파일도 만드는 경우가 있는데 만약 폴더에 모르는 html 파일이 생겼다면 절대 열어보지 마시고 바로 삭제하시기 바랍니다.

두번째로 데이터 파일명 뒤에 붙어있는 새로운 확장자 (sprksnz 또는 ccc, 기타등등)를 지우고 본래의 데이터 파일이름으로 변경합니다.


세번째로 드롭박스 우측에 보면 "변경내용 기록" 메뉴가 보이는데 이것을 클릭합니다.


이제 이전 버전으로 복원하기만 하면 됩니다.

랜섬웨어가 암호화하기 바로 전 파일을 선택하여 복원 버튼만 누르면 원래 상태로 복원됩니다.

오늘은 랜섬웨어에 감염된 드롭박스의 파일을 복원하는 방법에 대해 알아 봤습니다. 랜섬웨어는 예방하는 방법이 제일인 것 같습니다. 잘 모르는 토렌트 파일이나 이메일 또는 유해한 사이트는 이용하지 않는 것이 좋겠습니다. 그리고 만약을 대비해서 버전관리가 되는 클라우드 서비스를 이용해 보는 것도 괜찮다고 생각합니다.



반응형