랜섬웨어 감염 및 복구 후기, 과정 (시놀로지 NAS)

랜섬웨어 (RANSOMWARE) 감염

랜섬웨어(Ransomware)란?

랜섬웨어(Ransomware)는 악성 소프트웨어의 한 종류로, 컴퓨터 시스템이나 데이터를 암호화하여 사용자가 접근할 수 없게 만들고, 이를 해제하기 위해 사용자에게 금전적인 요구를 하는 것을 말합니다. 

 

두번째 랜섬웨어 감염

2023년 4월 24일 11시 경, 회사 동료의 다급한 호출이 있었습니다.

 

특정 사이트에 들어갔다 나온 뒤, 뭔가 이상한 메세지가 계속 표시되고 컴퓨터도 급격히 느려졌다는 것이었습니다.

메세지를 확인해보니 회사 내부 파일 서버에 네트워크 드라이브로 연결하여 사용 중인 RaiDrive 의 업로드 실패 알림이었습니다.

업로드가 실패된 파일과 경로를 보니, 제가 회사 동료에서 읽기 권한만 주고 쓰기 권한은 주지 않은 폴더였습니다.

 

읽기가 가능한 모든 폴더의 파일을 읽은 뒤 암호화 후 덮어씌워버리는 전형적인 랜섬웨어의 행동이었습니다.

 

2020년 1월 20일의 악몽이 떠오르는 순간이었습니다.

 

2020년 1월 20일 Devos 랜섬웨어 감염

당시엔 회사 파일 서버에 아무런 백업 조치도 없었고 은행 업무용으로만 사용하던 원격 데스크탑이 해킹 당한 상황이라 이미 감염이 거의 끝난 시점에서야 발견을 하게 되어서 피해가 막심했습니다.

 

.id[58A118EF-2677].[freda.piercyfull@aol.com].Devos

 

당시에는 파일 뒤에 저런 문구가 모두 붙었는데 아무리 검색해봐도 복구 방법이 없었고 지금까지도 복구가 불가능한 상황입니다.

 

은행 업무용 PC가 접속되어있는 파일 서버의 권한 범위가 제한적이어서 100% 모든 자료가 날라가진 않았지만 관련 자료들을 다시 찾고 만드는데 엄청난 시간과 노력이 들었던 것으로 알고 있습니다.

 

사건 이후, 저는 랜섬웨어를 막기보단 걸렸을 때 복구할 수 있는 방법은 찾아보기 시작했고 다행히 현재 회사에서 사용 중인 Synology NAS (DS414 모델)가 버저닝이라는 것을 지원한다는 것을 알게 되었습니다.

 

Synology NAS 버저닝 설정

모든 Synology NAS 모델이 지원되는 것은 아니라고 알고 있으니 사용하시는 모델의 지원 여부를 먼저 확인해보시기 바랍니다.

회사에서 사용 중인 DS414 모델에서 DSM 7.0 버전을 기준으로 간단히 정리해보겠습니다.

 

우선 패키지 센터에서 Synology Drive Server를 검색하여 설치합니다.

Synology Drive Server

설치 후 Synology Drive 관리 콘솔을 열고 좌측의 팀 폴더를 선택한 뒤 버저닝을 원하는 폴더를 선택하여 "사용" 을 눌러 활성화 시킵니다.

팀 폴더 사용 설정

 

활성화된 폴더를 선택한 상태에서 "버저닝" 을 누르면 다음과 같이 최대 버전 수와 회전 정책 등을 설정할 수 있습니다.

최대 버전 수 및 회전 일 수가 너무 크면 NAS 저장 공간을 상당히 많이 사용할 수 있으므로 폴더별로 적당한 값을 설정해줍니다.

최대 버전 수 및 회전 정책 설정

 

저의 경우 모두 최대 버전 4 및 30일 회전 설정을 해두었으나, 단일 파일들의 용량이 작은 문서 위주의 폴더들은 조금 더 여유있게 설정해도 괜찮을 것 같습니다.

 

저는 랜섬웨어 대비용으로 가능한 많은 폴더에 버저닝 설정을 하고 싶었고 회사 파일 서버 특성 상 업무일 기준 1일 이내에 발견이 될 것이므로 굳이 크게 설정하지 않았습니다.

 

 

감염 상태 확인 및 복구

최우선적으로 현재 랜섬웨어 프로세스를 확인 후 종료를 시켜야했으나 어떤 랜섬웨어인지 확인을 빠르게 할 수 없으므로 일단 감염이 의심되는 PC를 재부팅하였습니다.

 

여기서 다행인 부분은, 이미 파일이 모두 감염된 이후에 확인을 했다면 어떤 PC가 감염되었는지 찾기가 어려울 수도 있었는데 이상 증상이 보인 직후에 바로 알려주었기 때문에 감염 PC를 특정한 상태로 조치가 가능했습니다.

 

원래대로라면 랜섬웨어가 의심되는 순간 랜선을 제거하고 와이파이 연결도 해제를 하는 것이 가장 좋았지만 파일 서버의 경우 버저닝을 해둔 것이 어느정도 안심이 되었고 재부팅 이후 로컬 파일들도 더 이상 진행이 안되는 것으로 보였기 때문에 랜섬웨어의 실행 파일부터 찾기로 하였습니다.

 

그리고 바탕화면에 출처를 알 수 없는 설치 파일을 찾을 수 있었습니다.

랜섬웨어 실행 파일

 

특정 사이트의 광고 배너 등을 통해 해당 설치 파일이 유입되었고 사용자 계정 컨트롤 (UAC) 설정에서 사용자 확인 없이 실행할 수 있도록 꺼져있었기 때문에 아마도 웹브라우저 상에서 광고로 가장한 다운로드 버튼을 누른 뒤 완료 버튼을 누르는 순간 바로 실행이 되었을 것으로 추측이 됩니다.

사용자 계정 컨트롤 (UAC)

 

그런 것이 아니더라도 일반적으로 내가 원하는 자료가 다운로드 받아졌다고 생각이 될 경우 당연히 그것을 실행할 것이기 때문에 사용자 확인 팝업이 표시되었다고 하더라도 동의를 누를 수 밖에 없을 것입니다.

 

또한 최신 윈도우 디펜더 및 V3 와 같은 백신 프로그램으로도 전혀 검출이 되지 않았습니다.

해당 실행 파일의 디지털 서명 정보를 확인해본 결과, 서명 시간이 오늘 오전 5시 48분이었습니다 (이 부분에 대해서 잘 알지는 못하지만, 서명이 정상적으로 되어있기 때문에 실행에도 문제가 없었던 것 같습니다)

정상적인 디지털 서명이 되어있다.

 

재부팅 전까지 해당 랜섬웨어는 로컬 PC 파일부터 연결된 네트워크 드라이브까지 접속하여 파일을 읽고 변조를 시도한 것으로 보입니다.

엑셀 파일이 저장된 한 폴더가 모두 .tmjoytz 라는 확장명으로 변경되어있다.

 

변조된 파일이 들어있는 폴더마다 README.html 파일이 들어있었으며 이를 열어보니 복호화를 위한 안내문이었습니다.

당연히 일부 파일에 대해 정상적인 복구를 보여준 뒤 나머지 데이터들에 대해서는 비트코인을 요구할 것이므로 아예 시도조차 하지 않았습니다.

 

안타깝게도 로컬 PC의 파일들은 현재로서는 복구 방법이 없습니다.

최근 로컬 PC에서 작업 중이었던 자료는 모두 잃었지만 그나마 다행인 것은 중요한 자료는 모두 서버에 보관 중이었습니다.

 

NAS 의 로그 센터를 통해 파일 전송 기록 중 "tmjoytz" 문구로 검색을 해보니 158건이 나왔습니다.

파일 로그 기록 확인

 

서버 쪽 변조가 시작된 지 얼마 지나지 않아 재부팅을 하여 그나마 피해 범위가 적었던 것 같습니다.

 

변조가 된 일반 문서들의 위치를 파일 전송 로그를 통해 파악하였으니 이제 버전 탐색기를 통해 복원을 해줄 차례입니다.

 

버전 탐색기를 사용한 복원

Synology Drive 관리 콘솔 - 팀 폴더에서 상단의 "버전 탐색기" 를 누릅니다.

복원을 위해 버전 탐색기를 실행하자.

 

버전 탐색기의 좌측에 보이는 팀 폴더에서 복원을 원하는 폴더를 선택하여 폴더 내 파일들을 확인합니다.

변조되어있는 파일 확인

 

랜섬웨어 감염이 시작되기 바로 전 시간을 선택한 뒤 이동 버튼을 누릅니다.

11시 정각이면 괜찮을 줄 알았으나 이미 진행 중이었다.

 

11시 정각으로 이동하였으나 이미 파일 일부가 변조된 상태로 확인되었습니다.

10시 정각으로 이동하였더니 모든 파일이 정상인 상태로 보입니다.

모든 파일이 정상인 상태

 

이제 이 버전으로 복원을 하면 됩니다.

한 파일씩 진행해도 되지만 한꺼번에 진행하기 위해 첫번째 파일 클릭 후 마지막 파일에 Shift를 누른 상태로 클릭하여 전체 파일이 선택되도록 합니다.

(또는 폴더 내부로 들어가지 않은 상태에서 폴더를 선택한 뒤 복원 버튼을 누를 수도 있습니다. 폴더 또한 다중 선택이 가능합니다)

 

이후 상단의 복원 버튼을 눌러서 복원을 진행합니다.

전체 파일 선택 후 복원 버튼을 누른다.

 

덮어쓰기에 대한 확인을 하면 복원이 진행됩니다.

파일 덮어쓰기 확인 - 예

 

덮어쓰기를 하겠다고 확인했지만 변조된 파일과 원본 파일의 이름이 다르기 때문에 변조된 파일은 그대로 폴더에 남아있게 됩니다.

남아있는 변조 파일

 

변조된 파일 및 README.html 파일을 삭제한 뒤 모든 파일이 복원된 것을 확인할 수 있었습니다.

모든 파일 복원 성공

 

후기 및 예방 대책

첫번째 대규모 랜섬웨어 감염 시에는 정말 아찔할 정도로 많은 자료들의 손실이 있었습니다.

당시에는 NAS의 RAID를 통한 물리적인 HDD 손상만 대비 중이었기 때문에 만약 감염된 PC에 로그인 된 파일서버의 권한이 조금만 더 많았다면 손 쓸 수 없을 정도의 손실이 있었을지도 모릅니다.

 

그 때의 경험을 통해 NAS의 버저닝이라는 기능을 새롭게 알게 되었고 즉시 설정을 해놓았던 것이 큰 도움이 되었던 것 같습니다.

 

이번 랜섬웨어의 종류는 아직 파악이 되지 않았으나 문서와 이미지 파일 위주로 선택적 변조를 하는 것으로 보였으며 네트워크 공유 폴더가 아닌 로컬 드라이브로 인식된 것까지만 침투를 하는 것으로 보입니다.

서버 쪽 파일 로그를 보면 모두 WebDAV 를 통한 변조였기 때문입니다.

따라서 이번 랜섬웨어의 경우에는 네트워크 폴더를 드라이브화 시켜주는 RaiDrive와 같은 툴을 사용하지않는다면 서버 쪽 변조까지는 막을 수 있는 경우입니다.

 

그러나 2020년 감염되었던 랜섬웨어의 경우, \\192.168.x.x 와 같이 SMB 방식으로 로그인되어있는 공유 폴더까지 인식하여 엄청나게 빠른 속도로 문서, 사진 포맷 뿐만 아니라 모든 압축 파일 등 어떠한 포맷도 상관하지 않고 모두 변조해버렸기 때문에 피해가 컸던 것입니다.

 

당시에는 윈도우즈 자체 원격 데스크톱의 취약점이 있었고 외부에서도 사용하기 위해 원격 데스크톱을 포트포워딩 해둔 것이 문제였고 이번에는 특정 사이트에서 필요한 자료를 다운로드 할 수 있는 것처럼 위장한 랜섬웨어 파일 다운로드 링크의 실행이 문제였지만, 역시 진정한 문제는 이런 악성 랜섬웨어를 만들고 유포하는 쪽이겠죠?

 

당연히 최신 보안 업데이트를 하고 의심스러운 사이트는 방문을 하지 않고 모르는 파일은 다운로드를 받지 말라고 늘 주의하고 조심하지만, 작정하고 속이려들면 한순간에 당하고 마는 것이 요즘 세상인 것 같습니다.

 

언제라도 무심코 당할 수 있는 것이라 생각하고 만약을 위해 대비를 해두는 것이 중요합니다.

특히 외부 수집 자료 등이 아닌 창작물 등의 개인 자료가 많은 경우, 다수의 사용자에게 권한을 줄 수 밖에 없는 회사 서버의 경우 등은 반드시 이러한 버저닝과 같은 복원 솔루션을 적용하는 것이 필요할 것입니다.

 

랜섬웨어는 범죄입니다.