랜섬웨어 치료방법 을 알아보는 포스팅을 하겠습니다. 기업 기준입니다. 랜섬웨어에 감염되었을 때 유형과 긴급도에 따라 치료방법을 설명하는 글입니다. 기업의 상황과 망의 구조, 자료의 중요도에 따라 방식이 달라질 수 있습니다. 랜섬웨어 복구를 한다는 것은 최소한 한 대 이상의 시스템이 감염된 상황일 것입니다. 그렇다면 감염된 상황과 감염된 형태에 따라 피해를 복구하는 수준이 상이 할 것입니다.
O 랜섬웨어 치료방법 1단계: 감염된 랜섬웨어 파악
어떠한 랜섬웨어에 감염되었는지 기술적 특성이 무엇인, 현재 감염되어 전파를 위해서 시도하고 있는 방법이나 외부 통신이 있는지 등에 대한 전반적인 내용에 대해서 파악해야 합니다. 이에 따라 어떠한 방식으로 대응하는지 방법이 결정됩니다.
P.S 상세한 분석은 6단계 이후에 수행해도 무방합니다. 지금 시점에서는 외부 통신과 감염, 전파 경로 파악이 최우선입니다.
O 랜섬웨어 치료방법 2단계: 랜섬웨어 외부 통신 채널 차단
공격자와의 통신 채널을 열 수 있는 Trojan 계열 랜섬웨어의 경우 공격자와 통신하고 있는 외부 통신 채널을 빠르게 차단해야 합니다. 공격자는 명령어를 통해 랜섬웨어를 추가로 전파하거나 데이터를 유출해서 나갈 수 있기 때문입니다.
O 랜섬웨어 치료방법 3단계: 감염 전파 경로의 차단
외부 요소에 의한 재감염을 피하고자 외부에 열린 감염 요소를 빠르게 파악해 제거해야 합니다. 이메일의 경우에는 관련된 메일을 모두 격리해야 합니다. 그리고 파악된 랜섬웨어가 Worm의 형태를 가지면 전파하는 상황을 파악해 빠르게 차단합니다.
O 랜섬웨어 치료방법 4단계: 감염 현황 파악
랜섬웨어가 다시는 확산하지 않는 것을 확인하고 전체적으로 감염된 현황(대수)을 파악해야 합니다.
O 랜섬웨어 치료방법 5단계: 백업 데이터 정상 존재 여부 확인
백업 데이터가 존재하는지, 피해가 없었는지 확인합니다.
O 랜섬웨어 치료방법 6단계: 시스템 및 데이터 복구
감염된 시스템을 대상으로 백업 데이터가 존재하는 시스템들에 대해서 복구를 수행합니다. 백업 데이터가 존재하지 않을 때는 파악된 랜섬웨어의 유형에 따라서 복구를 시도해 볼 수 있습니다.
ex) 잠금 랜섬웨어의 경우 Windows 복구 모드로 진입이 가능한지 외부에서 접속할 수 있는지 등을 확인해봐야 합니다. 그리고 잠금과 암호화 두 가지 모두 타 시스템에서 해당 디스크에 접근해 파일을 읽을 수 있는지 확인해봐야 합니다. 만약 일반적인 방법으로 파일의 접근이 불가능하다면 파일 복구 솔루션을 사용해 볼 수 있습니다. 지워진 파일을 복구하는 것과 같은 방법으로도 복구가 가능한지 등을 체크해봅니다.
O 랜섬웨어 치료방법 7단계: 정보 유출 현황 신고
랜섬웨어 감염으로 인해 정보 유출이 실제로 발생했거나 공격자로 데이터가 전송된 부분이 확인될 경우 재빨리 과학기술정보통신부나 KISA에 신고 절차에 따라 신고해야 합니다.
O 랜섬웨어 치료방법 8단계: 복구 불가 상황 대응
6번 항목의 복구 방안을 검토해 보았으나 복구할 수 없는 경우 외부 기관이나 보안 회사와의 협업을 통해서 해결 방안을 모색할 수 있습니다. 다만 공격자에게 금전적인 지급을 통해서 랜섬웨어를 해결하는 것은 최악의 마지막 여우로 모색합니다.
이상 기업 기준으로 랜섬웨어 치료방법을 알아보는 포스팅을 하였습니다. 사실상 랜섬웨어에 걸리면 치료하기 굉장히 힘듭니다. 그러니 예방과 백업이 결정적으로 중요하다고 말씀드리고 싶습니다. 파이팅!!