2024-03-29 23:40 (금)
국내 가장 많은 피해를 준 Cerber 랜섬웨어…파일 복구 방법은?
상태바
국내 가장 많은 피해를 준 Cerber 랜섬웨어…파일 복구 방법은?
  • 길민권 기자
  • 승인 2017.07.17 15:33
이 기사를 공유합니다

“시스템 복원 기능 활용하면 일정 수준 복구가 가능할 수도 있다”

▲ Cerber 랜섬웨어 감염 화면
▲ Cerber 랜섬웨어 감염 화면
국내 랜섬웨어 감염 피해중 가장 큰 피해를 주고 있는 랜섬웨어가 바로 Cerber 랜섬웨어다. 대략 90% 이상의 국내 피해자가 Cerber 랜섬웨어에 감염된 것으로 추정된다. 이 랜섬웨어는 지난 6월 하순경부터 CRBR Encryptor 랜섬웨어로 이름이 변경되어 꾸준하게 유포가 이루어지고 있어 각별한 주의가 필요하다.

Cerber 랜섬웨어(Ransomware)의 가장 대표적인 감염 방식은 보안 업데이트가 제대로 이루어지지 않은 PC 환경에서 취약점(Exploit) 코드가 포함된 웹 사이트에 접속하는 과정에서 자동으로 감염되는 방식이다. 일반적으로 광고 배너를 차단하면 된다고 알려져 있지만 실제로는 문제 사이트에 접속하는 것 자체가 감염의 시작점이 될 가능성이 높다.

이에 유명 보안블로그 ‘울지않는 벌새’는 최근 ‘CRBR Encryptor 랜섬웨어로 암호화된 파일 복구 가능성’에 대한 내용을 포스팅해 눈길을 끌었다.

그는 블로그에서 “이미 Cerber 랜섬웨어(Ransomware) Red 버전의 경우 특정 폴더(드라이브) 영역만을 암호화하는 방식과 시스템 복원 기능을 삭제하지 않기 때문에 암호화된 파일을 복구할 수 있는 가능성에 대해서도 언급한 적이 있었다”며 “특히 이번에 이름이 변경된 CRBR Encryptor 랜섬웨어 역시 기존과 마찬가지로 시스템 복원 기능은 감염으로 인해 삭제되는 행위는 발견되지 않고 있다는 점에서 중요 파일이 복구되어 있는 드라이브에 대해 시스템 복원 기능을 활용하면 일정 수준 복구가 가능할 수도 있다”고 밝혔다.

그가 설명한 복구 방법은 다음과 같다. 우선 시스템 복원 기능은 반드시 C 로컬 디스크(운영 체제가 설치된 드라이브)의 시스템 보호를 사용해야 하며, 기본값에서는 C 드라이브 외의 다른 드라이브가 존재할 경우 사용자가 추가적으로 시스템 보호 기능 사용 여부를 설정해야 한다.

ce-2-1.jpg
CRBR Encryptor 랜섬웨어의 경우 파일 암호화 시 C 드라이브 외의 외장 디스크가 존재할 경우 우선적으로 암호화가 진행되며, C 드라이브의 경우에도 문서, 바탕 화면, C 루트 폴더 중 기본 폴더를 제외한 폴더만을 암호화한다.

만약 CRBR Encryptor 랜섬웨어 감염이 이루어진 환경에서 D 드라이브에 대한 시스템 복원 기능을 사용하고 있었다면 ShadowExplorer 프로그램을 이용해 가장 최근에 생성된 복구 지점을 선택해 백업된 파일 중 복구를 원하는 파일을 추출(Export...)할 수 있다.

실제 테스트를 통해 추출한 파일의 훼손 여부를 검토해보면 시스템 복원점에서 추출한 파일이 정상 파일임을 확인할 수 있다.

랜섬웨어(Ransomware)마다 파일 암호화 방식은 모두 다르지만 대용량 파일에 대한 효과적인 암호화를 위해 특정 파일 용량 이상의 대용량의 경우에는 일부 코드만을 암호화하는 경우가 있다.

ce-3-1.jpg
CRBR Encryptor 랜섬웨어 역시 기존의 Cerber 랜섬웨어와 동일하게 파일 전체를 암호화하는 것이 아닌 특정 영역만을 암호화해 파일을 열 수 없도록 한다.

실제로 500MB, 2GB, 3GB 이상의 동영상 파일이 CRBR Encryptor 랜섬웨어에 의해 암호화된 경우 내부 코드를 확인해 보았다.

암호화된 파일은 파일 헤더(Header) 영역은 건드리지 않고 Offset 0x708 값부터 암호화가 진행된 것을 알 수 있다.

이후 암호화된 코드는 Offset 0x4000743 영역까지만 암호화가 진행된 후 이후는 원래의 정상적인 코드로 유지가 이루어진다.

이를 통해 CRBR Encryptor 랜섬웨어는 약 64MB 파일 크기만을 암호화하고 있으며, 만약 3GB 수준의 대용량 파일인 경우에는 64MB 영역 외의 코드는 정상적인 코드라는 의미다.

이런 점에 착안해 암호화된 대용량 파일에 원래의 정상적인 파일 확장명(.mp4)을 추가한 후 동영상 재생 프로그램을 통해 재생 가능 여부를 확인해 보았다.

결론적으로 △영상 앞 부분은 깨지지만 큰 문제없이 재생할 수 있는 경우가 있다는 점 △팟플레이어(PotPlayer)로 재생 가능하지만 네이버 미디어 플레이어로는 재생되지 않거나 반대인 경우도 있다는 점으로 요약할 수 있다.

그는 “CRBR Encryptor 랜섬웨어에 의해 암호화된 파일이 500MB 이상의 대용량 파일인 경우에는 해당 파일의 확장명을 정확하게 수정해 재생 여부를 체크하는 것도 분명 도움이 될 수 있다”며 “또한 앞서 언급한 것처럼 시스템 복원 기능을 C 드라이브 외의 다른 파티션(외장 하드)도 활성화해 주기적으로 시스템 복원점을 생성해 만약의 피해로부터 복구 가능성을 확보하는 것도 권장한다”고 조언했다.

한편 그는 지난해 말, 2016년 12월 초부터 변경된 Cerber 랜섬웨어(일명 Red 버전)에 감염될 경우 볼륨 섀도 복사본(Volume Shadow Copy)을 삭제하지 않는 버그(Bug) 또는 기능이 빠진 상태로 파일 암호화가 이루어지고 있다고 설명하며 원본 복구가 가능한 부분이 있다고 포스팅한 바 있다.

그는 “시스템 복원 기능을 통해 확인해보면 기존에 생성해둔 시스템 복원점이 정상적으로 표시되는 것을 알 수 있으며, 이를 통해 사용자는 생성되어 있는 시스템 복원점에 존재하는 암호화된 파일의 원본을 복구할 수 있다”고 설명했다.

ShadowExplorer 프로그램은 생성되어 있는 시스템 복원점에서 특정 파일을 쉽고 빠르게 검색하여 개별 파일을 추출할 수 있는 무료 프로그램이다.

예를 들어 C 드라이브에 위치한 문서 폴더에 저장된 문서, 사진 등의 파일이 Cerber 랜섬웨어에 의해 암호화된 상태에서 ShadowExplorer 프로그램을 실행해 기존에 생성된 시스템 복원점을 오픈할 경우 원본 파일이 표시되는 것을 알 수 있다는 것이다.

그 중 복구를 원하는 파일을 선택해 마우스 우클릭을 통해 "Export..." 기능을 선택해 임의의 폴더에 파일을 추출하면 된다고 설명했다.

ShadowExplorer 프로그램을 통해 복구된 한글 문서(.hwp)를 오픈해 보면 암호화 이전의 상태로 생성된 것을 확인할 수 있다.

단 해당 방법은 시스템 복원 기능이 반드시 활성화된 상태에서 기존의 복원 지점이 존재해야 한다는 조건이 있으며, 다중 파티션(드라이브)으로 구성되어 있는 경우 시스템 복원 기능이 각 드라이브별로 생성되어 있어야 다른 드라이브도 복원이 가능할 수 있다.

그는 “차후 볼륨 섀도 복사본(Volume Shadow Copy) 삭제 기능이 Cerber 랜섬웨어에 다시 추가될 경우에는 사용할 수 없는 복구 방법이므로 2016년 12월 초부터 현재까지 Cerber 랜섬웨어 Red 버전에 의해 암호화된 경우 잘 활용해 보길 바란다”고 밝혔다.

한편 랜섬웨어 예방을 위해서는 무료로 사용할 수 있는 앱체크(AppCheck)를 PC에 설치를 권장한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★