매그니베르 랜섬웨어(magniber ransomware) 복구

2022.8.15.

집에서 사용중인 노트북 매그니베르(magniber) 랜섬웨어 감염.

 

Antivirus.Upgrade.Database.Cloud.cpl

가정에서 사용중인 노트북이지만 저장되어 있는 자료의 역사만 10년이 넘는(물론 노트북은 계속 바뀌었지만) 중요한 노트북을 무개념으로 사용하다가 랜섬웨어에 걸림.

 

2022.8.16.

각 폴더마다 Readme.html 파일이 생기고 Tor 브라우저 설치해서 Readme.html 파일에 있는 url에 접속하려다가 일단 램섬웨어 피해를 KISA에 개인피해 사고로 신고함.

 

KISA에서 관련 답변이 왔지만 복구보단 예방이 중요하다는 원칙적인 답변 메일만 옴.(ㅜㅜ)

답변 메일에 있는 관련 웹사이트 방문하여 복구할 수 있는지 찾아 보았지만 없음.

신종 매그니베르 랜섬웨어는 암호화방식이나 실행방식이 변형되어 추적이 어렵다고 나옴.

 

o 랜섬웨어 관련 사이트
- KISA 인터넷보호나라&KrCERT(www.boho.or.kr) → 사이버위협 → 랜섬웨어 → 복구 및 대응방법
- 안랩(www.ahnlab.com) → 보안정보 → 랜섬웨어 보안센터 → 랜섬웨어 복구툴 다운로드
- 노모어랜섬(www.nomoreransom.org) → Decryption Tools
- 한국랜섬웨어침해대응센터(www.rancert.com)

 

결정의 시간

10년 자료를 포기하고 노트북을 초기화 할 것인가 아니면 데이터 복구 업체에 맡겨 복구할 것인가?

10년이 자료를 복구비용을 주고 복구할 만큼 가치가 있는가?

자료가 없이면 향후 같은 자료를 만드는데 소요되는 시간이 얼마나 걸리나?

 

결정

시간을 돈으로 사자. 업체에 맡겨서 복구하기로 결정.

 

2022.8.23.

업체에 맡긴지 일주일만에 복구되었다고 연락옴.

 

결론

랜섬웨어 무시하지 말고 중요한 자료 있으면 바로 백업하자

최신 랜섬웨어 복구 안됨. 해커에게 비트코인 주고 decryptor 받아야함.

돈도 돈이지만 정신적으로 너무 피곤함.

 

‘3-2-1 백업’이란?

US-CERT(United States Computer Emergency Readiness Team)에서 컴퓨터 사용자를 대상으로 데이터 백업 옵션(Data Backup Options)이라는 문서에서 소개된 데이터 보호 규칙으로, 장애 방지 시나리오를 구현하는 것입니다.

​

3 - 중요 데이터에 대해 기본 데이터 1개, 백업 데이터 2개의 카피본 총 3개를 보관합니다.

2 - 서로 다른 위험으로부터 보호하기 위해 2가지 서로 다른 미디어 유형에 보관하십시오.

1 - 복사본 하나는 오프사이트(예: 집 또는 업무 시설 외부)에 보관하십시오.