랜섬웨어 매그니베르 치료와 파일 복구방법과 예방법

 

랜섬웨어 감염된 암호화된 파일 복구하는 복구틀, 치료와 예방법

 

지금 랜섬웨어가 기승을 부리고 있습니다. 

 

랜섬웨어는 인터넷의 웹페이지에 숨어있다가 사용자가 방문했을 경우, 그 사용자의 컴퓨터에 침투해서 중요한 파일들을 암호화시켜서 사용하지 못하게 만드는 악성 프로그램입니다.

 

랜섬웨어에 감염될 경우에는 자신의 컴퓨터에 있는 중요한 문서나 그림, 동영상 등 파일들이 잠겨져버려서, 열어볼 수 없게 됩니다.

 

즉, 랜섬웨어의 배포자가 감염된 컴퓨터의 중요한 파일들을 열어볼 수 없게끔, 암호를 걸어놓기 때문에, 사용자는 자신의 소중한 파일들을 볼 수 없게 된답니다.

 

랜섬웨어에 감염되게 되면, 개인이나 기업들은 자신들의 중요한 비즈니스자료나 개인적인 데이터들을 사용하지 못하게 되기 때문에, 큰 피해를 입게 된답니다.

 

랜섬웨어 배포자는 감염된 컴퓨터의 중요한 자료들을 암호화시켜놓고, 그 암호를 풀 수 있는 열쇠를 주는 조건으로 거액의 돈이나 바트코인을 요구합니다.

 

그러면 자신의 중요한 자료들을 복구하기 위해서, 사용자는 어쩔 수 없이 울며 겨자먹기식으로 거액의 비용을 지출해서 잠겨진 자료들을 열어볼 수밖에 없습니다.

 

이렇게 랜섬웨어는 불특정다수를 대상으로 열쇠장난을 치고있으며,

특정한 웹사이트에 숨어있다가 그곳을 방문하는 사용자들의 컴퓨터를 감염시키고, 소중한 데이터들을 암호화시킨 후, 거액의 몸값을 요구하는 등 커다란 피해를 발생시키는 악성코드입니다.

 

저도 수개월전에 랜섬웨어 매그니베르에 감염되어서 큰 피해를 입은 적이 있습니다.

랜섬웨어의 공격을 받은 제 컴퓨터의 소중한 문서파일들과 이미지파일들이 사용불능상태가 되어서, 엄청 큰 곤욕을 치른 적이 있답니다.

 

랜섬웨어는 침투한 그 컴퓨터의 중요한 한글파일과 그림파일, 그리고 일부 동영상파일들을 잠가버리고 암호화시킵니다.

그리고 그 암호를 풀 수 있는 방법을 제시하는 'readme'라는 메시지를 남겨놓는데, 대부분 암호를 풀 수 있는 댓가로 거액의 돈(바트코인)을 요구하고 있습니다.

 

당신의 중요한 파일들이 잠겨져있으니, 그 파일을 열어보려면 거액의 돈을 지불하라는 것이지요.

그런데 랜섬웨어 배포자의 요구대로 거액의 돈을 지불한다고 해서, 반드시 잠겨져있는 파일들을 열 수 있는 열쇠를 얻을 수 있는 건 아니랍니다.

 

소위 ‘먹튀’라고 해서, 돈만 먹고 튀어버리는 경우도 종종 있다고 하니, 돈을 지불할 때에는 조심을 해야합니다.

 

그렇다면, 랜섬웨어에 감염되었을 경우, 복호화 즉, 암호화된 자신의 파일을 다시 복구시킬 수 있는 방법은 없을까요?

 

 제한적이지만, 암호화된 파일을 복구시킬 수 있는 방법은 존재합니다.

그렇지만 모든 랜섬웨어의 감염에 대해서 복구시킬 수 있는 것은 아니랍니다.

 

지금 시중에 가장 많이 퍼지고있는 랜섬웨어는 매그니베르라는 종류인데요. 랜섬웨어애 대응하고 치료하는 백신이 만들어지다보니까, 매그니베르 랜섬웨어도 계속 업그레이드되어서, 신종, 변종의 배그니베르 랜섬웨어가 새로 만들어져 나돌고 있습니다.

 

랜섬웨어 감염으로 암호화된 파일의 경우, 약 480개의 확인된 확장자를 가진 매그니베르 랜섬웨어의 경우에만 복구시키는 것이 가능합니다.

그리고 이 이외의 신종, 변종의 또다른 확장자를 가진 매그니베르 랜섬웨어는 아직 복구화툴이 개발되지 않고 있습니다.

 

그러니까, 자신이 랜섬웨어에 감염되어 파일들이 잠겨져있을 경우에는, 자기컴퓨터를 감염시킨 그 매그니베르(랜섬웨어)의 확장자가 복구가 가능한 확장자인지, 복구가 불가능한 확장자인지를 먼저 확인하는 것이 필요하답니다.

 

아래는 안랩에서 개발한 복구가 가능한 매그니베르(렌섬웨어)의 확장자가 표시된 페이지랍니다. 

이곳에 있는 총 479개의 매그니베르 확장자에 감염된 경우만 복구가 가능합니다.

 

http://asec.ahnlab.com/1125

 

이곳을 방문해서 자기컴퓨터를 감염시킨 매그니베르(랜섬웨어)의 확장자가 복구가 가능한 확장자인지 여부를 확인하는 것이 좋습니다.

 

 자기컴퓨터를 감염시킨 매그니베르(랜섬웨어)의 확장자는 이렇게 알 수가 있지요.

감염된 파일의 마우스 오른쪽 버튼을 클릭해서 나타나는 단축메뉴의 하단에 있는 '속성'을 열어보면, ‘파일형식’에 나타난 문자가 있는데 그것이 바로 ‘확장자’입니다.

 

위의 복구가 가능한 매그니베르 확장자목록에 자기컴퓨터를 감염시킨 매그니베르 확장자가 있다면, 암호화된 그 파일들을 복구시킬 수가 있습니다.

즉, 확장자목록에 있을 경우, 매그니베르(렌섬웨어)에 감염된 자신의 파일을 열어서 다시 볼 수 있다는 것이지요.

 

그리고 매그니베르에 감염되어서 암호화된 파일을 복구시키는 방법은 ‘안랩’에서 개발한 복구틀을 사용해면 됩니다.

 

안랩에서는 약 480개의 매그니베르(랜섬웨어) 확장자에 대한 복구틀을 개발해서 무료로 배포하고 있답니다.

 

그러므로 매그니베르에 감염되어 파일들이 암호화된 분들은 안랩 홈페이지에서 무료로 제공하고 있는 복구틀 ‘MagniberDecrypt.exe’을 다운로드받아서 잠겨진 파일을 복구시킬 수 있습니다.

  

안랩의 아래페이지를 방문해서, 매그니베르 복구틀인 ‘MagniberDecrypt.exe’ 프로그램을 다운받아서 실행시키면 잠겨진 파일을 복구할 수 있습니다.

 

https://www.ahnlab.com/kr/site/download/product/productVaccineList.do

 

그렇지만 위에서 설명한 것처럼, 복구가 가능한 480개 매그니베르 확장자목록에 포함되지 않는 신종, 변종 매그니베르에 감염된 경우에는, 매그니베르 복구틀로도 복구시킬 수 없습니다.

 

위의 방법으로도 복구가 안될 경우에는, 안랩을 지속적으로 방문해서 안랩에서 새로운 복구틀을 개발해 배포할 때까지 기다릴 수밖에 없습니다.

 

차후에도 안랩을 계속 방문해서, 복구가 가능한 확장자목록을 다시 확인하시고, 또다시 매그니베르 복구툴인 ‘MagniberDecrypt.exe’ 프로그램을 다운받아서, 다시 복구를 시도해야 합니다.

 

◆ 랜섬웨어에 감염된 암호화된 파일 복구방법

 

아래의 다운로드 페이지를 방문해서, 매그니베르 복구툴인 ‘MagniberDecrypt.exe’을 다운받아서 실행시킵니다.

 

https://www.ahnlab.com/kr/site/download/product/productVaccineList.do

 

아래처럼 복구툴에서 1번의 암호화 확장자를 입력하고, ‘확인’을 클릭합니다.

그러면 아래 이미지처럼 Key값과 IV값이 나타나면, ‘Start’를 클릭하면, 복호화(복구)가 자동으로 실행됩니다.

 

 그리고 아래화면에 ‘복호화를 완료했습니다’라는 문구가 표시되면, 잠겨져있던 내파일이 복구가 된 것입니다.

그러면, 매그니베르(렌섬웨어)에 의해서, 암호화되어 열리지 않았던 파일들이 모두 복구가 되어서 다시 볼 수 있게 된답니다.

 

그렇지만, 암호화 확장자를 입력하고 확인을 클릭했을 때, Key값과 IV값이 나타나지 않거나, Key값과 IV값의 둘 중의 한 개의 값이 나타나지 않는다면, 잠겨져있는 파일의 복구가 불가능하게 됩니다.

 

이런 경우에는 복구가 가능한 매그니베르 확장자목록 페이지를 방문해서, 그목록에서 자신의 컴퓨터를 감염시킨 매그니베르의 확장자가 그 목록에 있는지 확인해봅니다.

 

만일 확장자목록에 자신의 매그니베르 확장자가 포함있다면, 그 확장자의 Key값과 IV값을 확인하고, 다시 매그니베르 복구틀로 돌아와서 수동으로 직접 Key값과 IV값을 입력한 후, ‘Start’를 클릭해서 복구를 시도합니다.

 

복구가 가능한 매그니베르 확장자목록 페이지 http://asec.ahnlab.com/1125

 

현재 복구 가능한 확장자목록에 자기컴퓨터가 감염된 매그니베르 확장자가 없다면, 나중에라도 확장자가 업데이트될 수 있으니까, 

나중에 다시 안랩의 해당페이지를 방문해서 업데이트된 확장자목록을 다시 확인해서, 복구가 가능한 확장자목록과 Key값과 IV값을 확인하는 것이 좋습니다.

 

지금은 복구하지 못했다 하더라도 나중에 다시 업데이트된 확장자목록을 다시 확인해서, 메그니베르 확장자와 Key값과 IV값을 찾아서, 복구틀 ‘MagniberDecrypt.exe’을 실행시켜서, 잠겨져있는 파일을 복구하시면 됩니다.

 

위와같이 안랩에서 복구틀을 다운받아 암호화된 파일을 복구시키는 것이 랜섬웨어에 의해서 암호화되어 있는 파일을 복구시키는 가장 일반적인 방법입니다.

 

 그런데 위와같은 방법으로도 암호화된 파일의 복구가 안된다면, 안랩에서 신종, 변종된 매그니베르(랜섬웨어)의 복구틀을 개발할 때까지 기다렸다가 다시 새로운 복구틀이 개발되면, 그때 가서 다시 복구틀을 사용하는 것이 좋구요.

 

이렇게 기다릴 시간여유가 없을 때에는 랜섬웨어 감염 파일을 전문적으로 복구시키는 복구 전문업체의 도움을 받는 것도 한 방법입니다.

 

복구전문업체는 랜섬웨어로 인해 암호화된 그 파일이 복구가 가능한지를 확인하고 안랩 뿐만아니라 다른 업체에서 개발해서 오픈된 다양한 복구틀을 사용해서 잠겨져있는 그 파일의 복구를 시도해봅니다.

 

이렇게 시중에서 구할 수 있는 모든 복구틀을 다 사용해도 복구가 안된다면, 마지막 방법으로는 그 매그니베르 렌섬웨어를 배포한 배포자에게 원하는 돈(코인구매)을 지불하고, 암호화된 파일의 복구를 시도할 수 밖에 없습니다.

 

랜섬웨어 배포자에게 돈을 지불하고 잠겨있는 파일의 암호를 받아서 파일을 복구하는 것은 가장 나중에 시도해야할 최후의 수단이어야 합니다.

 

◆ 랜섬웨어 감염 예방법

 

가장 중요한 것은 랜섬웨어에게 감염되기 전에, 예방하는 것이랍니다.

 

랜섬웨어의 감염을 예방할 수 있는 방법은 ‘안랩 안태 랜섬웨어 툴’ 같은 랜섬웨어 차단프로그램을 사용하는 것이 좋습니다.

 

안랩에서 무료로 배포하는 ‘안티 랜섬웨어툴’은 일종의 랜섬웨어 치료 및 퇴치프로그램입니다.

 

 외부에서 컴퓨터로 수상한 실행파일이 침투해 들어오면, ‘안티 랜섬웨어툴’은 즉각 그 실행파일을 감지해서 특정영역에 가둬놓고 랜섬웨어인지 여부를 검사하고, 그것이 랜섬웨어나 악성코드로 확인되면, 퇴치시키는 프로그램입니다.

 

‘안티 렌섬웨어툴’은 실시간으로 정밀검사를 실시해서, 외부에서 들어온 랜섬웨어를 가상공간에 격리시킨 후, 그 랜섬웨어가 공격하지 못하도록 차단시키는 역할을 합니다.

 

그렇기 때문에 설사 외부에서 랜섬웨어가 침투해온다고 하더라도, ‘안티 랜섬웨어툴’이 찾아내서 즉각적으로 차단시키기 때문에, 랜섬웨어의 감염을 예방할 수가 있답니다.

 

‘안티 랜섬웨어툴’은 안랩에서 무료로 제공해주고 있기 때문에, 랜섬웨어로부터 내 파일을 보호하길 원하신다면, ‘안티 랜섬웨어툴’을 다운받아 설치하는 것이 좋습니다.

 

그리고 랜섬웨어 공격을 막을 수 있는 또다른 예방법이 있는데, 외장하드를 하나 장만해서 자신이 만든 중요한 한글파일이나 그림파일 등을 그 외장하드에 백업해두는 것이 좋습니다.

 

자신이 갖고있는 파일중에서 제알 중요하다고 판단되는 파일들을 따로 복사해서, 그 외장하드에 저장(백업)해두는 것입니다.

그리고 평소에 백업해둔 그 외장하드는 컴퓨터에 연결하지 않고 따로 분리해두는 것이 좋습니다.

 

그리고 새롭게 작성한 문서파일이나 그림파일등을 저장할 때만, 컴퓨터에 연결해서 그 외장하드에 백업해두는 것이 좋습니다.

이 백업용 외장하드는 평소에는 컴퓨터에 연결된 선을 빼놓고, 따로 분리해두는 것이 좋습니다.

 

지금까지 랜섬웨어의 공격으로 인한 파일의 복구방법과 예방법에 대해서 소개해드렸습니다.