랜섬웨어 복구툴이 있는데 왜 복구가 안되는 거죠??

랜섬웨어란 컴퓨터를 사용하는 중 악성코드 바이러스에 감염이 되어 사용하고 있는 파일들이 암호화 - 비밀번호로 잠굼 - 되어 사용할 수 없게 만든 후 이를 인질로 삼아 풀어주는 대신 몸값 - ransom - 을 요구한다고해서 붙여진 이름이며, 사이버 범죄 중 하나입니다. 현재 수많은 종류가 있으며, 이를 다시 사용하기 위해 복구를 할 수 있는 방법은 크게 3가지만 있을 뿐입니다. 그 중 하나가 바로 랜섬웨어 복구툴을 이용하는 것인데 분명히 있다고 해서 찾아서 실행을 했는데도 복구가 되지 않는 이유는 무엇일까요?

 

공개된 랜섬웨어 복구툴을 있다고 해서 분명히 다운로드 받아 실행을 했는데 복구가 되지 않는 가장 큰 이유는 랜섬웨어 자체가 바뀌었기 때문입니다. 똑같은 이름 똑같은 유형이라고 해도 암호화 하는 방법이 바뀌었으니 무용지물이 되어 버린 것이라고 보시면 됩니다. 복구툴이 공개된 시점에서 랜섬유포자 역시 분석을 하고 자기가 만든 랜섬바이러스의 취약점을 제거하거나 완전 다른 것으로 만들어 버렸기 때문입니다. 

 

공개된 랜섬웨어 복구툴로 복구가 되지 않는 원인 중 하나는 어떤 랜섬바이러스에 감염이 되었는지 확인을 잘못했기 때문입니다. 여러 종류가 있는데 비슷한 증상을 보이는 것이 있어 오진을 했을 가능성이 높은 것입니다. 전혀 다른 렌섬웨어이니 아무리 복구툴을 이용한다고 해도 쓸모가 없는 것이라고 보시면 됩니다. 조금이라도 다르면 전혀 다른 결과가 나오기 때문입니다. 

 

랜섬웨어 복구툴이 나왔다고 해도 일시적으로 복구가 가능할 뿐 무조건 다 되는 경우는 없다고 보셔야 합니다. 더이상 다른 변종으로 바뀌지 않는다고 했을때만 유용하지 새롭게 바뀐 후 감염이 된 경우라면 쓸모가 없는 것이 되어 버리는 것입니다. 물론 새로운 버전에 맞춰 계속 복구툴이 공개 된다면 좋겠지만 완전히 다른 경우에는 전혀 다른 복구툴을 만들어야 되서 시간이 오래 걸리거나 나오지 않을 가능성도 높습니다.

 

공개된 복구툴을 사용하기 위해서는 어떤 종류에 감염이 되었는지 언제 감염이 되었는지 적용 가능한 것인지 정확하게 확인을 하는 것이 중요합니다. 만약 공개된 복구툴을 이용하여 복원을 하였는데 원본이 손상이 되어버릴 경우 복구자체가 불가능해질 수도 있으니 꼭 사용전에 확인을 해야만 합니다. 현재로서는 가장 좋은 방법은 백업 복사본을 이용하는 것이지만 현실적으로 가능한 방법은 해커에게 몸값에 해당하는 비용을 지불하고 암호해독 소프트웨어를 받아서 원래대로 복원을 하는 방법 뿐이라고 보시면 됩니다. 

* 감염될 경우 개인마다 키가 있어 받은 암호해독 소프트웨어로는 다른 사람의 파일은 복원할 수 없습니다.

 

 

참고. 11. 28 매그니베르 랜섬웨어 감염에 의해 변경된 확장자 리스트

 

cvwkllifr dbbpyqenq epwgadb fztqzcvlo gbkkgxu gfsfkkybd gxxkpucqw hmvqkps hoyudfn kydwxlwv kzkxdbcp lopraqc ltbqofjb qcoocubdg tupmmcv vqivdln wcnkhycxeb wkpvuphs xzlndwmmh 등이 있으며, 매일 새로운 랜덤한 문자열로 생성이 됩니다. 현재까지 수천개가 넘는 확장자가 있는데 확장자만으로 확인이 불가능한 경우가 많아 꼭 같이 생성이 되는 readme.txt 랜섬노트를 확인하는 것이 필요합니다.