랜섬웨어(ransomware)로 감염된 파일 복구하는방법

랜섬웨어는 이용자의 컴퓨터, 휴대전화 등을 잠그거나 파일을 암호화하는 악성 프로그램입니다.

해커들은 이 파일들을 복원시킬 수 있는 복호화키를 빌미로 돈을 요구합니다.

랜섬웨어 감염시 원칙적으로 해커에게 돈을 지불해서는 안됩니다. 

비용을 지불한다고 해서 암호를 해제해줄 복호화 키를 받는다는 보장이 없고,

오히려 해커에게 랜섬웨어가 잘 동작한다는 사실만 확인시켜줄 뿐입니다.

 

아래 사이트는 랜섬웨어에 감염된 파일을 업로드해 복호화시켜주는 소프트웨어를

찾아주는사이트입니다.

저 또한 랜섬웨에 걸린적있고 암호화된 일부 파일들이 일부 남아있어 테스트 겸

실질적으로 복호화되는지 테스트를 해보았습니다.

 

https://www.nomoreransom.org/crypto-sheriff.php?lang=ko 

랜섬웨어 해결사 | The No More Ransom Project

 

일단 위사이트에 접속한 후  'PC에서 첫번째 파일 선택'을 클릭해

랜섬웨어에 감염된 파일을 업로드해줍니다.

저의 경우는 access.php라는 감염된 파일을 올렸습니다.

그리고 '확인하기'를 클릭해줍니다.

검사결과 Avaddon이라는 랜섬웨어에 걸렸다고 나옵니다.

그리고 랜섬웨어를 해결할 수 있는 소프트웨어와 매뉴얼이 나옵니다.

저는 일단 첫번째 다운로드인 비트 디펜더를 다운받았습니다.

프로그램을 실행시킨후 'I agree with the terms of use'에 체크하고 CONTINUE를 클릭합니다.

'Scan entire system'에 체크하고 하단의 'START TOOL'을 클릭하면 컴퓨터의 감염된 파일을

스캔하며, 화면 중간에 'BROWSE'를 클릭해 특정폴더를 선택할 수 도 있습니다.

실패라고 나오네요.

그럼 아까 나왔던 두번째 파일로 시도해보겠습니다.

Emsisoft에서 만든 decrypt_Avaddon이라는 파일입니다.

이 프로그램도 드라이브 전체 스캔 또는 아래 'Add folder'를 클릭해 특정폴더를 지정해줄수도 있습니다.

검색할 폴더를 지정한 후 오른쪽 하단의 'Decrypt'를 클릭하면 됩니다.

그러면 아래와 같이 암호화된 파일을 스캔합니다.

이 프로그램도 역시 에러라고 나오면서 복구가 되지 않습니다.

일부 랜섬웨어들은 복구되기도 하나 대부분의 파일들은 복구되지 않는경우가 많습니다.

위의 방법과 같이 시도해보아도 파일이 복원되지 않는다면 방법은 거의 없다고 봐도 무방합니다.

이럴 경우는 어쩔수 없이 포기하거나 또는 나중에라도 암호화를 해제시킬 프로그램이 나올 경우를 

대비해 암호화된 파일들은 따로 백업을 해두는 방법밖에 없습니다.

복구업체에 맡기시더라도 대부분 위와 같은 방법으로 복구를 시도하기에 

성공할 확률이 높지 않습니다.

 

이미 잃은 소는 찾을수 없기에 외양간이라도 고쳐야 다음에 이런 상황을 모면할 수 있습니다.

중요한 파일들은 항상 다른 저장매체에 백업하시는게 제일 중요하며

또한 랜섬웨어에 감염되지 않는 알집의  alz , egg 포맷으로 파일을 압축해놓으면

랜섬웨어로부터 안전합니다.

또는 파일의 확장자를 바꾸어 놓아도 감염되지 않는 경우가 많습니다.

예를 들어 파일명.hwp를 파일명.hhh 로 바꾸어 놓는식입니다.

사용할 때는 다시 hwp로 바꾸면 됩니다.

 

저의 경우 랜섬웨어 방지기능이 있는 백신이 깔려있으며 정상적으로 작동되고 있는 상황에서도

랜섬웨어에 감염이 되었습니다.

백신이 만능이 아니라는 점을 알아두셔야 됩니다.

 

또한 가장 중요한 건 첫째도 백업, 둘째도 백업이라는 점 잊지 마시길 바랍니다.