[랜섬웨어 확장자] 파일이 이상한 확장자명으로 바꿨는데 왜 이러죠?

잘 사용하던 컴퓨터의 파일이 어느날 갑자기 열리지 않는다면 랜섬웨어 감염을 의심해 봐야 됩니다. 바탕화면이 바뀌는 경우라면 뭔가 잘못되어 그렇구나라고 바로 알 수 있지만 그렇지 않은 경우도 있어 왜 이럴까 생각을 해보기도 합니다. 보통 확장자를 숨김으로 되어 있어 뭐가 문제인지 잘 모르는 경우가 많은데 속성을 보면 사용하던 파일이 아닌 이상한 이름의 속성으로 바뀌어 있습니다. 그렇지 않은 경우도 있지만 대부분 랜섬웨어 감염에 의해 확장자가 변경이 된 것입니다. 각 폴더마다 살펴보면 readme.txt 등과 같은 이름의 메모장이 생성이 되어 있습니다.

 

파일을 실행하면 "이 파일을 열 수 없습니다." 라는 메시지와 함께 [파일이름].원래확장자.[추가된 확장자] 이렇게 바뀌어 있고 연결 프로그램을 선택하라는 메시지가 나오게 됩니다. 랜섬웨어 확장자의 경우 종류에 따라 특정 이름을 사용하는 경우도 있지만 매그니베르나 소디노키비와 같이 임의의 문자열로 매일 새롭게 생성이 되는 경우도 있습니다.

※ 10.29일 확인 된 매그니베르 랜섬웨어 확장자 리스트 (abc 순서)

bdnaane bkbxcyo blzlxtn fisxiscb glajgaen iagrhehpp iqnhblj ivshkno jndcirz jnualfibzp mgnqmnmv nbtgdefk obbxeoe otdkthintr pmnvkzsbq uhhbaltgwk umippcrpw watsmgyuc wmvhxfe xjcwpdhq 등이 있는데 매일 새로운 확장자가 생성이 되며, 현재 수천개가 넘게 감염이 되면서 추가된 확장자가 있습니다. 임의의 문자열이다 보니 확장자명으로만 어떤 종류에 감염이 되었는지 바로 확인이 불가능하고 readme.txt 메모장(랜섬노트)를 보고 매그니베를 랜섬바이러스에 감염된 것을 확인 해야 됩니다.

※ 소디노키비 랜섬웨어 역시 임의의 문자열로 바뀌지만 바탕화면이 파랗게 변하기 때문에 바로 알 수 있습니다.

 

파일이 랜섬웨어 확장자로 바뀌었다는 것은 악성코드에 감염이 되어 암호화가 되었다는 것입니다. 암호화가 되었기에 암호해독을 하여 원래대로 되돌리기 전까지는 내용을 알아볼 수 없게 됩니다. 암호화된 파일 자체는 내용만 바뀐 것으로 악성코드나 바이러스가 아니기 때문에 백신 등으로 검사를 해도 아무 이상이 없다고 나오게 됩니다. 암호해독을 하기 위해서는 공개된 복구툴이 필요한데 안타깝게도 아직까지 몇 종류의 랜섬웨어를 제외하고는 없습니다. 다시 말해 랜섬바이러스에 의해 파일이 암호화 되었다면 복구툴(암호해독툴)도 없고, 일반적인 데이터복구 방법으로는 원래대로 복원할 수 없다는 이야기가 됩니다. 물론 랜섬웨어 이름에서 알 수 있듯이 해커에게 일정 비용을 지불하면 그들이 말하는 특수프로그램인 암호해독 소프트웨어를 받을 수 있는데 이걸 이용하여 원래대로 파일복구는 가능합니다.

※ 랜섬웨어 종류가 많고 암호해독 소프트웨어를 받아 실행한다고 해도 원래대로 돌아오지 않는 경우도 있으며, 비용만 받고 주지 않는 경우(일명 먹튀)도 있기 때문에 어떤 랜섬바이러스에 감염이 되었는지 파일복구는 가능한 것인지 등에 대해 전문가와 상담을 먼저 해보시기 바랍니다.

 

랜섬웨어 확장자가 보일 경우 가장 먼저 어떤 종류에 감염이 되었는지와 공개된 복구툴이 있는지를 확인을 해 봐야 합니다. 공개된 복구툴이 없다면 비용을 지불해서라도 파일복구를 해야 되는지 아니면 포기를 할 것인지에 대한 결정을 하셔야 됩니다. 비용이 만만치 않기 때문에 쉽게 결정하기는 힘든데 암호화 된 파일의 가치를 먼저 생각해보시면 결정하는데 조금 도움이 될 듯합니다. 포기를 한다고 해도 혹시라도 나올지 모를 공개 복구툴을 위해 따로 백업을 해두셔도 좋습니다. 백업을 하기전에 먼저 백신 등으로 검사를 하여 안전한지 확인이 필요합니다. 

 

랜섬웨어 확장자만 보고 어떤 종류에 감염이 되었는지 확인하기는 힘들고 랜섬노트 (대표적인 매그니베르 경우 readme.txt 메모장)의 확인이 필요합니다. 주로 불법소프웨어 다운로드를 하거나 동영상 다시보기 사이트 링크, 유X브 영상 다운로드 사이트 등에 접속을 하거나 실행할 경우와 이메일 첨부파일을 열어볼 때 랜섬웨어 감염이 되는 경우가 많습니다. 최신 상태의 보안 업데이트가 되어 있고 백신이나 랜섬웨어 차단 프로그램으로 실시간 감시를 하고 있었다면 대부분 막을 수 있었을 지도 모릅니다. 예방수칙만 잘 지킨다면 어느 정도 막을 수 있는 것이 랜섬웨어 감염입니다. 사용할 때 귀찮다고, 불편하다고 생각하지 마시고 예방을 위한 것이니 꼭 지켜 주시기 바랍니다.

 

혹시라도 랜섬웨어에 감염되어 확장자가 이상하게 변했는데 이를 원래대로 파일복구를 해야 된다거나 포맷 윈도우설치 초기화를 해야 된다면 언제든지 담당 엔지니어와 상담을 해보시기 바랍니다.