안녕하세요.
제조업 중소기업에서 전산 관리업무를 맡고있는 생초짜 전산직원입니다.
얼마 전 사내에 랜섬웨어가 퍼져서 일부 파일들이 암호화 돼버렸는데요.
사내 운영 중인 파일서버의 파일도 일부 암호화되어 랜섬웨어가 퍼지기 전 시점으로 자료를 복원 하려하는데
현재 파일서버 구축업체와 유지보수 계약이 안되어 있다보니 일단 스스로 복구를 진행해보려 합니다.
그래서 죄송하지만 혹시 리눅스 파일서버에서 데이터를 복구하는 방법이나 이것을 배울 수 있는 자료, 책, 사이트가 있으면 댓글로 도움을 부탁드립니다.
참고로 파일서버 구축 현황은 아래와 같습니다.
1) 백업 솔루션 : 클라이언트 - Ahsay OBM / 백업 서버 - Ahsay OBS
2) 서버 OS : 클라이언트 - CentOS 6 / 백업 서버 - CentOS 7
3) 서버 위치 : 클라이언트 백업 서버 모두 사내에 위치
4) 백업 현황
5개의 답변이 있습니다.
초보전산직 | 약 4년 전
File만 랜섬웨어로 인해 암호화 되었다면 백업 받아둔 자료로 부터 복원 시도를 해 보시면 될것 같습니다.
올리신 글 내용들을 참고해 보면, 아마 SMB로 공유된 폴더에 일부 파일들이 암호화된걸로 보여 지는데...
접근 권한이 있는 PC에서 복원 시도하셔도 될걸로 보이고요.
백업된 자료들을 리눅스 서버에서 직접 시도해도 되겠지만, 서버에서 시도하는 것 보다는 PC에서 자료들을 복원해 낸 후에 복원할 파일들만 골라내어 손상 입원 파일로 대체하는게 좋을 것 같아 보이네요.
ahsay 백업된 자료 복구 방법은 아래 링크를 참고해 보면 도움이 될걸로 보이고요~
http://wiki.ahsay.com/doku.php?id=public:5020_faq:how_to_perform_a_restore_from_backup_data_copied_from_cbs_mapped_drive_removable_drive_backup_storage
초보전산직 | 약 4년 전
혹시 파일서버로 인터넷디스크를 사용중이신거라면 자체 제공하는 버전관리가 있을텐데 이전버전으로 돌려보셨는지요?
초보전산직 | 약 4년 전
랜섬웨어에 걸리셨다면 그서버는 왠만하면 다시 밀어버리고 새로 설치 하셔야 합니다.
저희도 작년에 캡스서버가 랜섬웨어 걸려서 그PC에 물려있는 사용자까지 감염을 시켜서 아예 밀고 새로 설치를 하였습니다.
초보전산직 | 약 4년 전
백업된 내용들이 정상적으로 보존되어 있다면, 안전한 컴퓨터에서 백업에 대한 복제본 부터 만들어서 시도하는게 좋을 것 같아 보이고요.
랜섬웨어에 종류에 따라 바이러스와 유사한 특성의 랜섬웨어라면 랜섬웨어 제거 툴을 이용해서 랜섬웨어를 제거 시키거나 OS를 완전히 포멧하고 OS 설치 부터 다시 해서 OS 부터 깨끗한 상태로 만드는게 필요할 것 같고요.
OS가 깨끗한 상태인걸 확인한 후에 Data 복원 작업으로 데이터를 살려 내면 될 거 같습니다.
이 과정에서 OS에 설치된 서비스들도 정상화 시켜야 하기 때문에 간단한 작업은 아닐것 같아 보이네요.
잘 모르는 사람이 어슬프게 시도하는 것 보다는 전문가에게 비용을 지불하고 의뢰하는게 좋을 것 같습니다.
초보전산직 | 약 4년 전