내 컴퓨터 파일들이 인질로.. 랜섬웨어 걸린 후기

아침에 PC모니터를 켰다. 여느때처럼 스토리지 용량이 부족하다는 경고문이 뜨길래, 주문했던 하드디스크가 언제오나 생각하며 윈도우 탐색기를 켰다. 그런데 이상한 느낌이 들었다. 모든 SSD, HDD가 빈틈없이 용량이 다 차있는 모습을 보고 지난주 금요일에 이정도까지는 아니었는데 싶어 각 디스크 루트 폴더를 확인했다. 무슨 rogger파일들이 넘쳐났다. 그 때까지는 ‘아 무슨 오류가 발생해서 로그를 많이 남겨 덤프 파일이 몇 기가씩 차지하고 있구나’ 싶었다. 그러다가 rogger 확장자를 가진 파일명이 내가 지은 파일명이라는 걸 알았을 때 느낀 당혹감이 컸다. 그렇다. RDP 브루트 방법을 이용한 랜섬웨어 Crysis 에 떡하니 걸렸다. 주말 새벽에 PC가 재부팅 알람이 와서, 정전이라도 있었나 싶었는데 이미 그 때부터 파일들을 잠그고 있었던 모양이다. 다행?이도 용량이 큰 이미지 파일이 많이 저장되어있었기 때문에 그런 것들은 디스크에 용량이 없어서 파일이 변형되다가 멈춘 모양이었다. 몇 년간 모은자료가 날아가는건가 싶어 살펴보니 바탕화면과 각 디스크 루트 폴더에 파일을 살리고 싶으면 메일을 보내라는 무성의한 메모장과 재부팅 때 시뻘건 화면으로 경고 화면이 떴다.

 

 

일단 침착하게 (1) 운영체제가 들어있는 C드라이브 말고 OS가 깔려있는 다른 하드를 꽂아서 해당 디스크로 부팅을 시도했다. 랜섬웨어는 레지스트리나 파워쉘 스크립트를 이용해서 파일을 암호화하므로 다른 디스크로 부팅할 경우 랜섬웨어가 더 진행되지 않는다. 혹시 모르니 랜섬웨어에서는 유명한 SW, App check를 통해서 한 번 더 체크한다. (2) 살아있는 파일은 어떻게든 건진다. 비쥬얼 스튜디오 프로젝트 인 경우 코드라도 살아있는 경우를 뺴온다. (3) 해당 랜섬웨어 파일 확장자와 랜섬웨어 이름을 경찰청에서 제공하는 ‘노모어랜섬웨어[https://www.nomoreransom.org/ko/index.html]’에서 검색해서 암호화를 풀 수 있는 디크립션 프로그램이 있는지 확인한다.

 

파일들이 모두 잠겨서 사용불가 상태다...

확인해보니 내 PC에 걸린 랜섬웨어는 별다른 툴도 없어서 꼼짝없이 그 많은, 4년 간의 데이터를 잃을 위기에 처해있었다. 그렇다고 복구될지 안될지도 모르는 상태에서 랜섬웨어 건 사람한테 돈을 보내고 싶지는 않았다. 엄밀히 말해 범죄자와 협상을 하고 싶지 않은 심정이랄까? 그럴 때 희망의 빛을 보내준 건 원드라이브였다. 재작년부터 office365를 구독해서 사용하고 있었고 대부분 중요한 데이터는 원드라이브 클라우드 데이터에 들어있었는데, 파일 확장자가 바뀌는 걸 감지한 원드라이브에서 랜섬웨어가 의심된다면서 경고 메일을 보내왔다. 그러면서 복구 링크를 보내줘서 클릭 후 원드라이브에 들어있던 모든 파일들은 멀쩡히 살아났다. 대부분의 중요 파일들은 원드라이브에 넣어둔 덕분에 아무런 피해를 보지않았다. 

 

(한 줄 결론 : 절대 망할 일 없는 원드라이브를 구독하자 + 그게 아니더라도 파일과 자료들은 클라우드에 보관하자)

세상은 점점 더 디지털화되고 있다. 문서, 사진, 영상부터 신분증, 공인인증서까지. 나를 증명해줄 수 있는 많은 것들도 디지털 데이터로 존재하고 있다. 디지털 데이터가 곧 자산인 것이다. 랜섬웨어는 이러한 자산을 가로채가는 범죄행위다. 어느날 집에 돌아왔는데 집에 있는 모든 물건을 못쓰게 만들어놓은 재물손괴와 동일한다. 평생 찍은 사진이 모두 삭제된다면, 부모님, 할아버지, 할머니와 찍은 영상같은 다시는 담지 못할 소중한 순간이 영원히 못쓰게 변해버린다면 그것만큼 참담한 일도 없을 것이다. 랜섬웨어는 생각보다 먼 이야기가 아니다. RDP를 사용하거나, 인터넷에서 수상한 파일을 다운받아 실행하거나, 특정사이트에 인터넷익스플로러(IE)로 접속해도 당할 수 있는 범죄다. 항상 조심하는 것으로는 부족하다. 나의 디지털 재산들을 항상 안전하게 보관/백업하는 습관이 필요하다.