랜섬웨어 확장자가 보이는데 복구 가능한가요?

10월 7일 매그니베르 랜섬웨어 감염에 의해 변해버린 확장자 목록 정리 (abc 순서)

aiarewg aissnkcgl ajtqqwbzp axgygxci baeictliu bcpxdsd bsqibmq bvqgnvq ccxjwcubt cosbdjnftb cyhzzvcw dedosid dfzvbjm duxrxxpr dxmuxnqde eevdnxr egxugxkun fukfwdm fwocxvwj gccutqpx gerznmyi giqbgyn glkimonx gudtukwf hdcagph hjadyei hkwegmbj iaiysgje idcpnwr jirtgsg jjkzdzzv jzcwdheqy kcnxphlb knnbsnu kytwqczf lcszmetr mjczimoyc mpvaebm neoxpanm osxthbelr pijsvsy qhoxwrc qkvzfkjpp qnpqbnhy qwsnwem rrjicod sfkflvfbh sylhvpyjm tbrryxf txnnxklhl ucjcjrzv uknepjzc uojkecvt utupzmk uwumqvxk vkdgurkan vkqtvlg vqfdtknj vqpsgean wtzawpul xdabpwzt xhyetmye xswxnidr xxpsvxvea xxqwjky xydsnjgw ymvfdjvw ypigndlxj zmucfqbs zqerughp 

등이 있습니다. 매일 새롭게 생성이 되는데 현재까지 수천개가 넘는 확장자가 있습니다. 랜덤하게 생성이 되는 것이라 별다른 의미는 없습니다. 

 

랜섬웨어에 감염이 되면 기존에 사용하던 확장자 뒤로 랜섬 특유의 확장가가 추가가 됩니다. 일부 랜섬바이러스의 경우 고정으로 사용하는 이름이 있는가 하면 임의의 문자열을 사용하는 경우도 있습니다. 확장자가 추가가 되다보니 확장자별로 정해놓은 연결프로그램이 사라져 아이콘은 빈문서 모양으로 바뀌게 되고 readme.txt 등의 메모장인 랜섬노트가 생성이 되어 있는 것을 볼 수 있습니다.

 

랜섬웨어 감염은 일반 적인 바이러스와는 다르게 사용하는 데이터 파일을 암호화하여 실행이 되지 않거나 실행이 되더라도 내용이 알 수 없게 바뀌게 됩니다. 그럼 랜섬웨어 확장자를 기존에 사용하던 확장자로 바꾸면 연결 프로그램이 다시 연결되어 아이콘이 기존 모양으로 바뀌게 되고 실행은 되지만 파일의 내용 자체가 암호화 되어 역시 내용을 알 수 없거나 실행이 안되기도 합니다.

 

그럼 랜섬웨어 확장자가 보인다면 복구는 가능할까요? 안타깝게도 최근에 감염이 되었다면 공개된 복구툴이나 일반적인 데이터복구 방법으로는 원래대로 복원은 불가능합니다. 초기 랜섬바이러스의 경우 기술적인면이 부족하여 취약한 부분을 이용하여 복원이 가능했지만 랜섬유포자의 기술이 발전하면서 이런 취약점이 사라져 복원가능성이 사라졌다고 보시면 됩니다. 복원가능한 방법은 해커(랜섬웨어 유포자)에게 비용을 지불하고 암호화 된 파일을 풀 수 있는 암호해독 소프트웨어를 다운로드 받아 실행하여 원래대로 복원하는 방법 뿐입니다. 

 

랜섬웨어 확장자마다 원하는 비용이 다르지만 절차는 대부분 비슷합니다. 현재 수많은 종류의 렌섬웨어가 있으며 일부 공개된 복구툴이 있는 경우도 있으니 어떤 랜섬에 감염이 되었는지 확인을 해보시고 꼭 복구를 해야 된다면 비용을 지불하는 방법뿐인데 암호해독 소프트웨어를 받는다고 해도 복원이 되지 않는 경우도 있으니 꼭 전문가와 상담을 먼저 해보시고 복구가 가능한 종류인지 먼저 확인을 해보시고 결정을 하시기 바랍니다.

 

랜섬웨어 확장자가 보인다면 공개된 복구툴이나 일반적인 복구 방법으로는 원래대로 복원은 불가능하지만 비용지불을 통해 암호해독 소프트웨어를 이용하여 원래대로 복원하는 방법은 있습니다. 궁금한 점이 있거나 도움이 필요하다면 언제든지 문의 주시기 바랍니다.