SharedIT | 묻고 답하기(AMP)

랜섬웨어 침입시 여러분들의 선택은?

parkck
2017.12.25 () | 0 추천 | 9개의 답변

친구 회사에 외부 원격 접속용 PC 가 하나 있습니다.
그리고 그 PC에 회사 파일 서버 공유 폴더가 3개 연결 되어 있구요.

지난 수요일 저녁 9시쯤 부터 원격 PC와 기타 파일 전체가 말렸더군요.
다행이도(?) 그날 직원 한명이 작업을 끝내고 프로그램을 안 끄고 가서
Main DB는 DB가 열려 있는 바람에 Main DB는 안 말리고 그대로 있더군요.

금요일 밤에 긴급 전화 와서 원격으로 메인 서버에 접속 하고 보니

첨부된 사진 처럼 이렇게 되어 있고 



원격 PC는  (18181818)


친구에게 원격 PC는 줄 빼라 그러고 지난 금, 토, 일 계속 원격으로 작업 중인데
친구는 자기도 아는 것이 있으니 원하는 금액이 얼마냐고 묻더군요.
옥신각신 하다가....

현재 내가 내린 결론은
서버에 연결된 2개의 USB Backup 하드는 이상이 없어서 우선 그것을 복구 하기로 결정한 상태입니다.
우선 전체 자동 백업은 전부 중지 시킨 상태입니다. 연말까지.
Main DB는 이상이 전혀 없어서 그냥 사용하고
뽕 맞은날 하루치 Scan한 자료등등은 포기 하기로 하자고 조금 전에 연락 했습니다.
전체 암호 교체

그리고 지금 서버도 바꿔 버릴까 생각 중입니다.
공유 폴더에 파일들을 삭제하다가 보니 모르는 실행 파일들이 군데 군데 보이더군요.
완전 찜찜.

참네 연말 연휴에 좀 쉴려고 하니 무슨 ㅈㄹ인지.
저기 가려면 집에서 차로 160Km 이상 떨어져 있는데.

 
Tags : 태그가 없습니다.

9개의 답변이 있습니다.

그저멍하니
  0 추천 | 6년 이상 전
크리스마스 재앙이네요;;;

다행히 복구 후기가 있어 다행입니다.
lendon
  0 추천 | 6년 이상 전
그래도 DB가 살았다니 불행중 다행입니다,,,크리스마스에 고생 많으셨습니다

parkck | 6년 이상 전

감사 합니다.
wansoo
  0 추천 | 6년 이상 전
DB는 실행중이라서 Lock이 걸려 암호화를 하지 못했나 봅니다.
그나마 다행인거 같네요.
확장자가 java로 변경시키는 랜섬웨어인가 봅니다.
file 명은 암호화 ID 정보와 해커 메일 주소 등으로 구성된 순번으로 변경시키는 것 같고...
랜섬웨어에 감염되면 일단 컴퓨터 전원을 꺼 버립니다.
그리고, 하드디스크를 분리 시켜서 다른 깨끗한 컴퓨터에 연결시키고, 디스크 이미지를 만들어 둡니다.
만약을 위해 현 상태를 그대로 보존해 두어야 뭘 해 볼 수 있기 때문이니깐요.
해커에게 메일 보내면 1Mb 이하의 2개 file은 샘플로 해독할 수 있게 해 준다니, 메일은 한번 보내 볼 것 같네요.
백업 자료가 있는지 찾아 보고, 디스크에 숨겨진 Shadow 복구 file이 있는지도 찾아 보고, 디스크 복구 툴을 이용해서 복구해 낼 수 있는 자료나 랜섬웨어 작동중 삭제한 참고할만한 File들이 있는지도 찾아 보고...
최대한 모을 수 있는 정보를 다 모으고, 도움 받을 수 있는 곳을 찾아보고, 모아둔 정보들을 최대한 공유하면서 방법을 찾아 봐야 할 것 같네요.
정말 중요한 자료라면 해커에게 비용이라도 지불하고 방법을 찾아야 할 것 같고, 당장 급하지는 않지만 시간이 걸리더라도 복구하고 싶은 자료라면 백업 자료를 잘 보관해 두고 계속 방법을 찾으려고 노력할 것 같네요.
양자 컴퓨터 같은 획기적인 성능을 가진 컴퓨터가 개발된다면 현재 알고리즘으로 암호화된 암호들은 모두 풀 수 있는 날이 오지 않을까 하는 희망을 가지고 있네요.
고생 많으셨을 것 같네요. 화이팅 하시고요.
친구분이 여유가 있는 상황인거 보니, 그렇게 중요한 자료는 아닐 수도 있겠다는 생각도 드네요.
jesco
  0 추천 | 6년 이상 전
요즘 랜섬웨어들은 해복화화에 얼마요구하나요? 예전에 걸렸을때 60만원 정도였는데 비트코인 시세도 많이 바뀌였잖아요.... 혹시 복호화 비용도 많이 올랐나요?
체크리스트
  0 추천 | 6년 이상 전
잘 대처하셨네요 ^^b  최악의 시나리오는 면하시듯 해서 다행입니다 
계란밥
  0 추천 | 6년 이상 전
파일이 열려있는경우에는 암호화를 피해가나보네요 O..O 연휴에 고생하셨겠어요

parkck | 6년 이상 전

원격 PC가 공격 받았기 때문에 그리고 원격 PC User는 일반 사용자라서 서버를 손댈 수가 없어서 공유 폴더들만 쫙 말렸습니다. 어제 크리스 마스날 올라가서 종일 작업했습니다. 오늘 직원들 오면 Test 해 보라고 해야만 합니다. 사실 작업한 파일이 200,000개 정도 되기 때문에 직원들도 어디까지 있는지 없는지 모를 것 입니다. 집에 있느 여분의 외장 하드 하나 들고 가서 전체 백업 하나더 했습니다. 미래에 발생될 유실되었을지 모르는 자료들 때문에.
전산초보임니다
  0 추천 | 6년 이상 전
호의가 권리로 바뀌는 경우네요 ㅠㅠ 
werther.chan
  0 추천 | 6년 이상 전
친구회사의 자료까지 봐드리고 있네요 멋지십니다.
저도 예전에 친구가 이것저것 물어봐서 봐주고 했는데 어느순간에... 제가 다 하고 있더군요.. 친구는 뒷전이고.. 내껏도 아닌데...ㅎㅎ
정말 그나마 랜섬웨어.. 메인db에 이상이 없다니 다행입니다..
암호화된것은 그냥 포기하시고... 새롭게 만드셔야할것 같습니다.
서버는 교체하는것이 제일 좋을것 같구요.. 이참에...ㅎㅎ

parkck | 6년 이상 전

크리스마스날 올라가서 보니( 좋은 점은 차가 안막혀서 금방도착 TT) 파일은 서버 백업 하드에서 공격 전 날 것으로 다 복원 시켰습니다. 200,000개 넘더 군요. 아마도 하루치만 날린것으로 봐야 할것 같습니다. 그리고 네트웤장비 컴퓨터 전부 재시동 했습니다. 원인이 뭔지는 모르나 복구후 공유 자체가 계속 에러 나더군요. 공유 폴더 전부 공유 풀었다 다 재 공유 설정 및 권한 설정 다 다시 했습니다.
Secure your email
  0 추천 | 6년 이상 전 | Cellopoint International Corporation | +886-2-8969-2558
침해사고를 당하셨다니, 먼저 위로의 말씀을 드립니다.

일단, 랜섬웨어의 대부분은 암호해독키값을 지불하더라도
복구가 안되는 경우가 대부분입니다.
다행이도, 어느 정도의 복구가 가능한것 처럼 말씀하시니,
이에, 고생이 되더라도 스스로 복구하시는 것을 추천합니다.

랜섬웨어의 공격 경로를 알 수 없는 상태이니,
원인을 파악하셔서 재차 반복되는 공격에서 빨리 벗어나시길 바랍니다.

메리크리스마스 그리고 해피뉴이어~
건투를 빕니다.

감사합니다.

parkck | 6년 이상 전

감사 합니다. 침해 사고로 위로 받을 것은 하니고 그 친구 땜에 어쩔수 없이 도와 주느라 연휴를 망쳐서 위로 받아 야 할 것 같습니다. 1시간 전에 친구에게 전화 해서 경과를 말하는데 이시낀 가족과 함께 어디서 놀고 있더군요. lol

Secure your email | 6년 이상 전

아... 그랬군요~ 직접 피해를 입으신건 아니라서 다행이긴 한데, 소중한 연휴가 망가져 버렸군요.ㅎ 친구분으로 부터 충분히 보상을 받으실 수 있을겁니다. ^^ 고생하셨네요~
원본 페이지 보기