랜섬웨어 복구툴이 있는데 왜 복구가 안되죠?

랜섬웨어란 사용자의 파일을 암호화 하여 몸값(Ransom 랜섬)을 요구한다고 하여 붙여진 이름입니다. 감염이 되면 사용하던 파일이 암호화 되어 사용할 수 없게 바뀌는데 이걸 원래대로 다시 사용할 수 있는 방법은 백업 복사본을 만들어둔 경우 다시 가져오는 방법과 공개된 복구툴을 이용하는 방법, 그리고 요구대로 몸값에 해당하는 비용을 지불하고 암호해독 소프트웨어를 받는 방법 밖에는 없습니다.

 

백업 복사본은 감염이 되기 전 미리 만들어 뒀어야 하는데 사용자가 직접 해두지 않았다면 의미가 없습니다. 몸값에 해당하는 비용을 지불하고 암호해독 소프트웨어를 받아서 사용하면 되지만 엄청나게 높은 금액이기에 많은 고민을 하고 결정을 하게 되는데 대부분 포기를 하게 됩니다. 그렇기에 공개된 복구툴이 있는지 없는지 찾아보게 됩니다. 그러나 대부분의 랜섬웨어에 대한 공개복구툴이 존재하지 않기 때문에 이마저도 쉽지는 않습니다.

 

최근에 많이 감염피해를 입고 있는 매그니베르 랜섬웨어에 대한 공개 복구툴이 있는데 왜 복원이 되지 않는지 물어 보시는 분들이 많습니다. 2018년 4월경에 안랩에서 나왔는데 4월 이전에 감염된 일부 확장자에 대해 이를 이용하여 많은 분들이 복원하여 더이상 걱정을 하지 않아도 될 것이라 믿었습니다. 하지만 약 2개월 후 새로운 형태의 매그니베르 랜섬웨어가 나오면서 6월 이후에 감염이 된 경우 복원이 되지 않게 되었습니다. 

 

참고 : 11월 12일 매그니베르 랜섬웨어 감염에 의해 변경되는 확장자 리스트

bmhnwlq ckovmqrfu dgfmdsw dmitzuyy dqmgykt etwalgct ezmkwnl fnzjszf hgfkgmdc jylmhiqlo klgfvijrd mhbrbdwx oxnmlap qlfzsibrfv vizaxwbnx vljswzjg xjrgdnodo ygryyvro yvxoxql 등이 있으며 매일 새로운 랜덤한 문자열의 확장자가 나오고 있습니다. 현재 수천개가 넘는 확장자 리스트가 있습니다.

 

이처럼 랜섬웨어에 대한 공개된 복구툴이 나와 복구가 되었다고 하더라도 그 이후 새로운 형태(변종)으로 바뀌어 복원이 되지 않게 바뀌어 버리는 경우가 많습니다. 똑같은 이름과 똑같은 랜섬웨어 감염 증상을 보인다고 해도 변종이기 때문에 무용지물이 되어버린 것이라 보시면 됩니다. 랜섬웨어 공개 복구툴이 있는데 왜 복구가 되지 않는다면 공개된 이 후 새롭게 바뀐 변종일 가능성이 높다고 보시면 됩니다. 

 

공개된 복구툴이 있는 랜섬웨어 감염이 되었지만 랜섬바이러스 감염이 똑같은 이름과 똑같은 증상을 보이더라도 변종일 가능성이 높아 복구가 되지 않는 것입니다. 다시 공개 복구툴이 나오기까지 엄청난 시간이 필요하며, 나오지 않을 가능성도 높습니다. 막대한 금전적 손해를 감수하고 복원을 해야 되는 상황인 만큼 감염이 되지 않도록 철저한 예방이 필요합니다. 랜섬웨어 예방수칙에 따라 컴퓨터 사용환경과 습관을 바꾼다면 웬만한 공격은 다 막을 수 있으며, 백업 복사본을 만들어 두면 쉽고 빠르게 원래대로 복원이 가능하니 꼭 2중 3중으로 해두시기 바랍니다.