본문 바로가기
기타 자료

encrypted 파일 복구하기 (가능)

by 성곤 2015. 11. 30.
반응형




랜섬웨어 Crypt0L0cker 바이러스가 걸려서

중요 문서 파일들이 encrypted 확장자로 변하면 난감합니다.


당신은 아마 많은 뉴스와 이야기를 듣고 이 블로그에 왔을 겁니다.

그리고 기사 내용을 보면 절대 복구가 불가능하고, 바이러스 유포자만 알 수 있다고 하죠.


맞습니다. 못합니다.

그러니깐 랜섬웨어에 걸리면 망하는 겁니다.


한 번 바이러스에 걸려서 암호화된 파일은 복원할 수 없다고 보면 됩니다.



We will find a way. We always have.
우린 답을 찾을 것이다. 늘 그랬듯이.

- 인터스텔라




복구할 수 있는 방법을 적겠습니다.

하지만, 복구할 수 있는 조건이 있습니다.


1. 바이러스에 걸린 실제 컴퓨터.

2. 그리고 바이러스를 백신으로 제거한 그 컴퓨터.

3. 시스템복원기록이 남아 있는 컴퓨터.

(윈도우xp는 불가능합니다, 윈도우 비스타 이상 버전에서 가능합니다.)


이 세가지 요건이 충족되야합니다.


랜섬웨어에 걸리고 포맷을 하셨거나,

단순히 encrypted확장자의 파일만 가지고 있으면 복원이 불가능합니다.


이 방법은 기존의 파일을 랜섬웨어로 걸리기 전으로 바꾸는 방법이지,

랜섬웨어로 암호화된 파일을 다시 복호화하는 방법이 아닙니다.


그리고 그 컴퓨터를 백신으로 랜섬웨어를 제거했다는 가정하에 파일 복구 방법을 적겠습니다.






1. 시스템 복원 지점 확인하기


[제어판] -> [복구] -> [시스템 복원 열기] -> [다른 복원 지점 선택]


화면을 열어서 복구가 가능한 시점을 보세요. 보통 한 달 전까지 복구할 수 있습니다.


혹은 '시스템 복원'이 없는 경우도 있습니다.(만약, 시스템 복원을 사용할 수가 없다면 encrypted 확장자 파일을 복원할 수 없습니다.)




바이러스 걸리기 전 시스템 복원 기록이 남아있는지만 확인합니다.

기록이 남아 있는 것을 확인한 후 '취소'버튼을 누릅니다.







2. ShadowExplorer다운로드 및 실행:


ShadowExplorer-0.9-portable.zip다운로드


출처 : http://www.shadowexplorer.com/downloads.html





압축을 풀고 ShadowExplorerPortable.exe를 실행시킵니다.




3. 파일 복구하기 :


화면 상단에 드라이브를 선택하고(C드라이브)

Crypt0L0cker 바이러스가 걸리기 전 복원 시점을 선택해줍니다.







복원 시점을 선택했다면, 이제 그 복원 시점에 있었던 파일을 찾아보자.


바이러스에 걸리기 전에 복원 시점에 있었던 파일들의 위치에 가서 해당 파일찾아보세요.

복원 시점을 제대로 선택했다면, encrypted확장자가 아니라 변하기 전의 확장자(hwp, txt, swf 등등)으로 되어 있을 겁니다.


이제 해당 파일 및 폴더를 오른쪽 눌러서 Export 해줍니다.

Export 를 하게되면 encrypted확장자 파일이 아닌, 원본 파일을 복원시켜줍니다.









어때요? 쉽죠??


시스템 복원(윈도우 비스타 이상의 운영체제)의 기록이 있다면

랜섬웨어 Crypt0L0cker 바이러스로 인한 encrypted 확장자도 복원할 수 있습니다.




복구가 잘 안되시면 덧글 남겨주세요.

피드백 남겨드릴께요.

:-)





============== 2016.05.05 추가 내용


랜섬웨어침해대응센터에서 랜섬웨어를 푸는 방법을 소개했습니다.


아래 링크를 통해서 더 많은 정보를 확인해보세요.


https://www.rancert.com/bbs/bbs.php?mode=view&id=1&bbs_id=rest&page=1&part=&keyword


반응형