랜섬웨어(Ransomware) 무료 복구 방법 총정리 (How to restore ransomware infected files)

암호화 과정 예시

 

보통 파일을 암호화 시키면 암호화된 파일이 생성되고 원본 파일이 동시에 존재하게 됩니다. 랜섬웨어 프로그램들은 대부분 파일을 암호화시켜서 생성된 암호화 파일을 그대로 두고, 암호화 완료 후 즉시 원본 파일을 삭제하는 경우가 많습니다.
따라서 삭제된 파일을 복구하는 방법을 통해 소중한 자료들을 복구해 보도록 하겠습니다.

암호화된 파일을 복구하려면 복구 프로그램과 secret key가 필요해서 거의 불가능합니다. 따라서 삭제된 데이터를 안전하게 복구할 수 있는 방법에 집중하는 것이 좋을 것 같습니다.

 

랜섬웨어(Ransomware) 무료 복구 방법 총정리 (How to restore ransomware infected files)

 

어느 날 갑자기 소중한 가족사진, 업무 자료, 개인 자료들이 모두 암호화되어 열리지 않는 상황이 닥친다면 얼마나 놀라고 허무할까요? 인터넷에서 받은 파일, 이메일에 첨부된 파일 등을 실행하면서 이런 상황이 주로 발생하게 되는데요.

소중한 자료를 복구할 수 있는 방법에 대해서 설명드리도록 하겠습니다.
우선 랜섬웨어에 감염된 컴퓨터는 즉시 종료(shutdown) 하시고 자료를 다 복구하기 전에는 Windows로 다시 부팅하지 마세요. 

필요한 준비물은 caine 포렌식 운영체제 iso 이미지와 Ventoy로 변환한 부팅용 USB입니다. 랜섬웨어에 감염되지 않은 다른 컴퓨터를 사용하여  Ventoy 프로그램과  caine12.4.iso 파일을 각각  공식 웹 사이트를 통해 다운로드하시고 부팅용 USB를 만드시면 됩니다.

하나 만들어두시면 컴퓨터에 문제 생겼을 때 웬만하면 다 복구할 수 있습니다. 윈도 로그인 암호 설정 파일(SAM)도 chntpw 명령어를 사용하여 재설정할 수 있고 여러 가지 장점이 있습니다.

참! SSD의 경우 TRIM 기능 때문에 복구를 해도 파일명만 복구되고 파일을 열 수 없는 경우가 대부분입니다. 따라서 SSD는 가장 늦게 복구를 시도해 보시고, 가장 먼저 HDD부터 복구를 시도해 보세요. 

 

caine 운영체제 (포렌식 운영체제)

 

CAINE 주의 사항 및 UnBlock 사용 방법

 

UnBlock 기능 및 Status 확인

 

CAINE 운영체제는 포렌식을 위한 운영체제로 컴퓨터에 연결된 모든 저장 장치를 Read Only로 마운트 할 수 있게 합니다. 랜섬웨어로 암호화된 파일이 있는 저장 장치는 모두 Read-Only 상태, 복구 파일이 저장될 외장 하드나 대용량 USB는 Writable로 변경해야 합니다.

UnBlock 프로그램을 실행하시고 복구 파일이 저장될 외장하드나 대용량 USB만 check 하시고 [OK]를 눌러주세요.

주의: 랜섬웨어에 감염된 외장하드는 복구가 필요한 드라이브입니다. Writable로 변경하시면 해당 디스크를 읽고 쓰면서 데이터가 손실될 수 있습니다. 꼭 Read-Only 상태로 유지해주세요.

 

자료 저장할 외장 드라이브만 Writable로 변경(주의)

 

외장하드나 대용량 USB Status가 Writable로 바뀌면 UnBlock프로그램을 종료합니다.(우측 상단에 종료 버튼 클릭)
caine's Home(탐색기 기능)을 눌러서 자료가 저장될 외장하드나 대용량 USB 위치로 찾아갑니다. 

원하는 경우 복구된 자료들이 저장될 디렉터리를 생성하고 전체 경로를 복사해둡니다.(QPhotoRec destination path에 붙여넣기 할 목적)

 

QPhotoRec 프로그램 사용방법

 

QphotoRec 실행

 

QPhotoRec 프로그램을 실행하여 "Please select a media to recover from" 부분을 확인합니다.
암호화된 파일들이 있는 디스크 및 파티션을 선택할 수 있습니다. 

디스크를 선택하고, Whole disk를 선택하거나 자료가 저장된 partition을 정확하게 알고 있다면 해당 파티션만 선택해서 진행할 수 있습니다.

 

탐색기 실행 및 복구자료가 저장될 디렉토리 생성

 

caine's Home (thunar) 프로그램을 통해서 자료가 저장될 최종 위치를 복사해두세요.
이 경로는 "Please select a destination to save the recovered files to." 부분에 붙여넣기 합니다.

 

QPhotoRec 설정 1

 

저는 복구 방법을 예시로 보여드리기 위해서 Kali Linux가 설치된 Disk의 Boot partition에서 png 파일만 복구해 보도록 하겠습니다.

파티션을 잘 확인하시고 선택하시면 됩니다. 복구할 파티션을 잘 모른다면 Whole disk를 선택하세요.

QPhotoRec 설정 2

 

QPhotoRec 설정 3

 

다음으로 하단에 있는 [File Formats] 메뉴를 선택합니다. 기본적으로 QPhotoRec가 복구할 수 있는 파일명들이 나옵니다. 원하는 파일에 체크하고 [OK]를 누릅니다.

선택 메뉴 창이 너무 작으면 원하는 사이즈로 늘려서 확인할 수 있습니다.

 

QPhotoRec 설정 4

 

전체 선택을 해제하려면 [Reset]을 눌러서 전체 해제할 수 있습니다.

저는 boot partition에 있는 png 파일만 복구해보록하겠습니다. [Reset]을 눌러서 모두 체크 해제하고 png 파일만 선택했습니다.

 

QPhotoRec 설정 5

 

QPhotoRec 설정 6

 

QPhotoRec 설정 7

 

모든 설정이 정확하다면 [Search] 메뉴를 눌러주세요.
QPhotoRec 프로그램이 파일을 찾아서 복구를 시작합니다.

 

복구 완료

 

복구 완료(Recovery completed)  상태가 되면 몇 개의 파일이 복구되었는지 리스트를 통해서 알 수 있습니다.

 

복구된 자료

 

caine's Home(thunar, 탐색기)를 실행하고 저장된 경로로 찾아갑니다. 
복구된 파일을 확인합니다.

 

복구된 자료

 

QPhotoRec 사용자 singnature 추가 방법(QPhotoRec custom singnature) 

 

apropos hexdump

 

QPhotoRec에 없는 파일을 복구하고 싶다면 샘플 파일을 xxd와 같은 hexdump 프로그램을 사용하여 file의 header를 확인하여 custom singnature파일에 추가할 수 있습니다.

sudo vi /root/.photorec.sig 명령어를 사용하여 /root/ 디렉토리에 .photorec.sig 파일을 생성합니다.
i를 눌러서 입력모드로 변경합니다.
hwp 0 d0cf 11e0 a1b1 1ae1 을 입력하고 esc키를 누릅니다.
:x를 눌러서 저장하고 vi editor를 나옵니다. 

 

xxd 사용법

 

주로 file의 header는 00000000(Offset 0)에 나오게 됩니다. 따라서 hexdump나 ASCII값이 있다면 "ASCII"값을 넣어주셔도 됩니다. hwp 파일에는 안타깝게도 ASCII 문자열이 없네요. ㅜㅜ

[파일명 확장명]  [Offshet] [hex 또는 "ASCII"] 형태로 입력할 수 있습니다.

 

xxd 사용법