랜섬웨어 공격 및 데이터 복구: 완벽한 개요

데이터 손실과 다운타임을 야기하는 랜섬웨어 공격은 어떤 산업에서도 기업에게 위험한 위협입니다. 2023년 평균 랜섬은 154만 달러에 달했습니다 소포스에 따르면. 불행히도 랜섬웨어 공격의 강도는 해마다 증가하고 있습니다. 모두가 위험에 처해 있습니다. 컴퓨터에 설치된 후, 랜섬웨어는 강력한 암호화 알고리즘을 사용하여 데이터를 삭제하거나 손상시킵니다.

랜섬웨어 뒤에 있는 악의적인 행위자들은 일반적으로 데이터를 해제하고 다시 사용할 수 있게 하기 위해 돈(몸값)을 요구합니다. 그러나, 범죄자들에게 인센티브를 제공하는 것 외에도, 이러한 지불은 사용 가능한 데이터에 대한 완전한 접근을 보장하지 않습니다. 이 블로그 포스트는 공격자와의 거래를 피하면서 랜섬웨어 공격에서 효과적으로 회복하는 방법을 설명합니다.

랜섬웨어 공격 후 할 일

사용 가능한 수많은 예방 조치에도 불구하고, 귀하의 조직이 랜섬웨어 공격의 희생양이 될 가능성이 여전히 있습니다. 다음과 같은 실천은 랜섬웨어 공격이 발생했을 때 그 영향을 최소화하는 데 도움이 될 수 있습니다. 만약 귀하의 기계가 랜섬웨어에 감염된다면, 랜섬웨어에서 파일을 복구하기 전에 이러한 권장 사항을 따르십시오.

• 감염된 장치를 분리하십시오. 악성 소프트웨어에 감염된 장치를 감지하면 즉시 네트워크 및 외부 저장 장치에서 장치를 분리해야 합니다. 이렇게 하면 인프라 내의 다른 기기 및 시스템이 감염되지 않도록 할 수 있습니다. 이 단계를 통해 영향을 받지 않은 데이터를 보존하고 랜섬웨어로부터 파일을 복구하는 데 필요한 작업량을 줄일 수 있습니다.

  이후, 실제로 랜섬웨어 공격에 영향을 받은 기기의 수를 식별하고 인프라에서 의심스러운 활동을 찾으십시오.

• 랜섬웨어의 유형을 식별하십시오. 문제를 처음 감지한 사람과 대화하세요. 사건 발생 전에 무엇을 하고 있었는지, 의심스러운 첨부 파일이 포함된 이메일을 받았는지, 최근에 다운로드한 파일은 무엇인지 묻습니다. 랜섬웨어의 유형을 식별하면 데이터 보호 시스템의 취약점을 파악하고 이를 수정하는 데 사용할 수 있는 중요한 정보를 제공합니다.

  뿐만 아니라, 랜섬웨어 유형을 결정하는 데 성공하면 파일이 어떻게 영향을 받았는지 정확히 알 수 있습니다(즉, 암호화되었는지 또는 잠겨 있는지). 그런 다음, 랜섬을 지불하지 않을 경우의 잠재적인 결과를 이해하고, 랜섬웨어 공격으로부터 성공적으로 복구하기 위해 사용해야 할 전략을 알 수 있습니다.

• 문제를 보고합니다. 직원 교육을 진행할 때 스태프에게 그들의 기계에서 의심스러운 활동이 있을 경우 IT 지원팀에게 알리는 것이 중요하다고 설명하십시오. 이렇게 함으로써 IT 전문가들이 랜섬웨어 공격에 적시에 대응할 수 있습니다. 그 후, 랜섬웨어 공격을 관할 당국(예: 미국에 있다면 FBI)에게 보고하고 사건에 관한 모든 필요한 정보를 제공하십시오. 당국에게 보고함으로써 동일한 랜섬웨어 가해자들에 의한 향후 공격을 예방하는 데 도움이 될 수 있습니다.

• 빈틈을 피하십시오. 법 집행 관계자들은 가해자들의 요구에 응하는 것을 권장하지 않습니다. 왜냐하면 이는 향후에 더 많은 랜섬웨어 공격을 장려하기 때문입니다. 빠른 돈을 벌고자 하는 해커들은 향후 공격을 위한 쉬운 대상으로 여길 것입니다. 게다가 대부분의 경우, 랜섬을 지불하는 것이 공격자들이 약속한 대로 데이터를 잠금 해제하거나 복호화할 것을 보장하지 않습니다. 이들은 이익만을 추구하는 범죄자들과 상대하고 있음을 기억하십시오.

• 랜섬웨어 공격의 영향을 파악하십시오. 데이터가 얼마나 훼손되었는지, 공격 결과 몇 대의 기계가 감염되었는지, 그리고 공격에서 회복하는 데 얼마나 오래 걸릴지를 결정해야 합니다. 또한 사용할 수없게 된 중요한 데이터의 중요성을 평가하고 랜섬을 지불하지 않고 복구할 수 있는지 여부를 결정하십시오.

• 랜섬웨어로부터 시스템을 복구하십시오. 컴퓨터에서 랜섬웨어를 제거한 후, 랜섬웨어 공격 복구를 시작할 수 있습니다.

랜섬웨어로 암호화된 파일을 복구하는 옵션

랜섬웨어 공격 후 데이터 복구에는 여러 가지 방법이 있습니다. 이러한 방법의 효과는 상황에 따라 다릅니다.

운영 체제 내장 도구 사용

Windows 10을 사용하는 경우 Windows 시스템 복원 유틸리티를 사용하여 자동으로 생성된 복구 지점에서 시스템 설정 및 프로그램 설정을 복구할 수 있습니다. 이 방법으로 모든 데이터를 복원할 수는 없습니다. 최신 랜섬웨어는 시스템 복원을 비활성화하고 Windows 복구 지점을 삭제하거나 손상시킬 수 있습니다. 이 경우 이 방법은 효과가 없습니다.

랜섬웨어 복호화 도구 사용

랜섬웨어의 유형과 버전을 감지한 경우 보안 연구원이 제공하는 복호화 도구를 찾아보십시오. 복호화 도구는 각 랜섬웨어 버전에 대해 제공되지 않을 수 있습니다. 요즘에는 복호화 도구를 찾기가 점점 더 어려워지고 있습니다.

삭제된 파일 복구용 소프트웨어 사용

랜섬웨어가 디스크의 파일을 덮어쓰거나 디스크 표면을 영으로 또는 무작위 데이터로 채우지 않았다면 일부 중요한 데이터를 복구할 수 있는 가능성이 있습니다. 디스크 표면을 스캔하는 데는 오랜 시간이 걸립니다. 복구 후 파일 이름이 손실될 수 있으며 이름은 RECOVER0001.JPG, RECOVER0002.JPG 등과 같을 수 있습니다.

백업에서 데이터 복구

주요 방법은 랜섬웨어가 기기를 감염시키기 전에 사전에 준비하는 것입니다. 랜섬웨어 공격 전에 백업을 만들지 않았다면 이 방법을 사용할 수 없습니다. 사전에 준비하고 정기적으로 데이터를 백업해야 합니다. 백업 최상의 방법은 3-2-1 백업 규칙을 따르고 오프사이트 및/또는 오프라인에 백업을 저장하여 랜섬웨어 공격으로부터 복구할 수 있도록 하는 것입니다. 이를 위해 클라우드, 테이프 및/또는 불변 백업 저장소를 사용할 수 있습니다.

백업을 생성하는 가장 좋은 방법은 다양한 워크로드 및 인프라를 지원하고 3-2-1 백업 규칙을 구현할 수 있는 전용 데이터 보호 솔루션을 사용하는 것입니다.

NAKIVO 백업 & 복제는 그러한 솔루션 중 하나입니다. NAKIVO의 솔루션은 백업 성능을 향상시키고 데이터 복구 가능성을 보장하며 랜섬웨어 복구를 개선할 수 있게 해줍니다. 이 솔루션은 물리 서버, 가상 머신(VMware vSphere, Microsoft Hyper-V, Nutanix AHV), Amazon EC2 인스턴스 및 Microsoft 365의 데이터 보호를 지원합니다. 이 솔루션을 사용하여 다음을 수행할 수 있습니다:

• 이미지 기반, 응용 프로그램 인식, 점진적 백업 및 복제 수행.

• 원본 호스트 또는 가상 머신(VMs)을 참여시키지 않고도 백업 사본을 쉽게 생성할 수 있습니다.백업을 원격 사이트, 공용 클라우드 또는 테이프에 저장합니다.

• 원격 사이트, 공용 클라우드 또는 테이프에 백업을 저장합니다.

• 로컬 리눅스 기반 저장소 또는 Amazon S3 클라우드에서 불변성을 활성화합니다.

• 인스턴트 VM 부팅, 세부적인 복구 및 물리 기계를 VMware vSphere VM으로 P2V 복구等多种多样的恢复选项中进行选择.

• 다양한 작업 및 조건을 자동 시퀀스로 배열하여災害恢復工作流程을 작성합니다.

�ansomware_recovery의 시간은 얼마나 걸리나요?

�ansomware 바이러스로 암호화 된 파일 공격 복구에 필요한 시간은 중毒 컴퓨터에 있는 손상 데이터의 양과 ransomware 복구를 위해 사용된 방법에 따라 다릅니다.ransomware 공격 복구에 필요한 시간을 추정할 때, 데이터 복구 및 모든 시스템을 RESTORED 작업負荷으로 다시 온라인으로 복원하는 것을 의미합니다.

데이터 복구와 작업負荷 복원에 걸리는 시간은 날에서 월까지 다양합니다.복구 시간에 영향을 미친 주요 요소를 살펴보겠습니다.

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• 디코딩 도구를 사용하여 복구 (특정 ransomware 버전에 대한 것을 발견 한 경우)가 많은 시간을 걸릴 수 있습니다.암호화 후 파일 이름이 변경되었으면 (가 sLc6-fAl26m.nSeB2가 image001.jpg), 복구 후 올바른 디렉토리에 배치하는 데 더 많은 시간이 걸립니다.어플리케이션을 작동하기 위해 필요한 파일이면 적절한 파일과 디렉토리 구조를 존중해야합니다.

• 데이터 백업을 하는 것은 파일 및 서버 랜섬웨어 복구에 필요한 시간을 줄입니다. 랜섬웨어 공격 후 백업에서 파일을 복구하는 장점은 파일 및 폴더 이름과 올바른 경로를 포함한 구조화된 데이터를 복구하는 것입니다. 적절한 날짜/시간의 백업을 선택하고 데이터를 복구할 위치를 선택해야 합니다. 그런 다음 데이터가 복사되고 복구될 때까지 기다리기만 하면 됩니다.
  또한, NAKIVO Backup & Replication과 같은 백업 솔루션은 이미지 기반 기술을 활용하여 VM 및 물리적 머신 백업을 캡처합니다. 이는 백업이 운영 체제 및 애플리케이션 구성 파일 및 시스템 상태와 같은 다른 파일들을 포함하여 운영 체제를 캡처한다는 것을 의미하며, 이는 시스템을 다시 가동하는 데 필요한 시간을 단축하는 데 도움이 됩니다.

• 랜섬웨어 복구 계획의 불충분한 테스트는 예상보다 더 오랜 데이터 복원 시간으로 이어질 수 있습니다. 이러한 이유로 항상 복구 계획을 테스트하여 적절한 시간 프레임 내에 필요한 모든 것을 복구할 수 있는지 확인해야 합니다.

랜섬웨어 재해 복구 계획을 포함하는 재해 복구 전략을 작성할 때는 RTO 및 RPO 메트릭을 고려해야 합니다.

결론

랜섬웨어 복구는 데이터를 복구하고 워크로드를 복원하는 복잡한 과정입니다. 랜섬웨어 복구 비용 및 시간은 백업 전략 및 랜섬웨어 공격으로부터의 복구에 들어가는 준비의 양에 따라 다릅니다.

랜섬웨어 공격으로 인한 문제를 완화하는 주요 접근 방식은 예방 조치를 따르고 데이터를 정기적으로 백업하는 것입니다. 3-2-1 백업 규칙을 따르고 변경할 수 없는 백업 저장소와 자동화된 작업을 수행할 수 있는 신뢰할 수 있는 데이터 보호 솔루션을 사용하십시오.