랜섬웨어 복구와 예방

최근 회사 메일로 아래와 같은 견적 요청서가 들어왔다.

 

랜섬웨어 메일

그냥 보더라도 견적을 요청하는 메일로 착각할 수 있다.

사실 연구소에 영업사원이 견적을 요청하는 경우가 거의 없기 때문에 당연히 랜섬웨어일 것이라고 생각을 했지만

문제는 회사 전 임직원한테 동일하게 메일이 들어갔다는 것이다.

영업부서와 사업부서, 임원분들까지 메일이 보내져서 일부 임직원분들이 메일의 첨부파일을 열어버린 것이다.

 

첨부된 파일을 자세히 살펴보면 확장자가. IMG로 되어 있는데 뭔가 헷갈리게 .table.dwg.IMG 등으로 파일명을 만들고 Hungary라는 유럽 국가명까지 사용하면서 그럴듯하게 첨부파일을 치장하고 있다.

또한 견적문의 첨부파일이 1.2M라는 것도 주의 깊게 봐야 한다.

 

이러한 메일을 받으면 보안 필터가 작동되는 환경에서 자동으로 필터링할 수도 있지만 교묘하게 허점을 파고들어

메일이 각 개인에게 전송되어 피해를 입히는 경우도 많다.

 

메일의 첨부파일을 열어본 분들의 컴퓨터는 파일의 확장자가 알 수 없는 파일로 변형되어 중요한 데이터들이 잠겨졌으며 철저히 백업을 해놓지 않았다면 중요 파일들은 복구가 거의 불가능해진다.

 

랜섬웨어의 특징이 파일을 암호화하여 복호화 키를 모른다면 누구도 복구할 수 없다는 데 있기 때문에 회사의 피해가 막심했다.

 

우리는 이러한 랜섬웨어에 대비해야 한다.

Windows 10에서는 기본적으로 램섬웨어 방지 기능이 탑재되어 있어서 랜섬웨어 감염을 어느 정도 방어할 수 있지만

감염 시 복구를 위해서는 OneDrive와 연동하여 내 컴퓨터 백업을 하고 이를 통해 복원하는 방법을 추천한다.

 

친절한 Microsoft의 OneDrive>파일>관리>랜섬웨어 검색 및 파일 복구 방법 페이지로 들어가면 세부 절차와 방법을 제시해주고 있다.

 

랜섬웨어 감염이 되지 않도록 하기 위해서 수상한 이메일은 차단하고 주기적으로 백업을 해 두자.

 

백업 이외에 좀 더 적극적으로 랜섬웨어로부터 파일들을 보호하는 방법도 있다.

윈도우 시작 버튼을 클릭하여 설정의 '업데이트 및 보안' 페이지로 이동해 보자.

여기서 아래와 같이 Windows 보안 > Windows 보안 열기를 차례로 클릭한다.

이후 '바이러스 및 위협 방지'를 클릭한다.

중간 정도까지 스크롤을 내리면 아래와 같이 '랜섬웨어 방지'가 보이고 여기서 '랜섬웨어 방지 관리'를 클릭한다.

제어된 폴더 액세스의 토글 버튼을 켬으로 클릭하면 아래 그림과 같이 '보호된 폴더'가 보이고 여기서 반드시 보호하고 싶은 폴더가 있다면 추가해 준다.

손이 좀 가긴 했지만 랜섬웨어 공격자들에게 거액의 수수료를 지불하거나 내 컴퓨터의 데이터를 날리는 최악의 상황은 피할 수 있을 것이다.