You are currently viewing 파일이름이 rhkjzpo로 변경되었어요.

파일이름이 rhkjzpo로 변경되었어요.

rhkjzpo 파일을 복구할 수 있나요?

  • 인터넷에서 다운받은 파일을 컴퓨터에 설치했는데요. 그 후에 나스에 저장되어 있는 파일의 이름이 rhkjzpo로 변경되었습니다. 
소요시간 : 3시간 00분
어려움 :
3/5

랜섬웨어에 감염된 파일만 스냅샷의 파일로 복원하였습니다.

시놀로지 DS1819+를 사용하고 있습니다. 다행히 스냅샷 기능(Snapshot Replication)을 사용하고 있어서 감염되기 이전의 파일로 복원할 수 있었습니다.

랜섬웨어에 감염된 것을 하루가 지나서 알아차렸는데요. 여러사람이 나스를 사용하다 보니까 랜섬웨어에 감염된 이후에도 수정, 생성한 파일이 있습니다. 이런 파일은 그대로 보존하고 랜섬웨어에 감염된 파일만 선택적으로 복원하기위해 Snapshot Replication 패키지에서 제공하는 공유폴더 복원하는 기능은 사용하지 않고, 랜섬웨어에 감염된 파일만 선택적으로 복사하는 방법으로 파일을 복원하였습니다. 

만약 랜섬웨어에 감염된 이후에 수정, 생성한 파일을 없애도 될 경우에는 Snapshot Replication 패키지에서 제공하는 공유폴더 복원하는 기능을 사용하면 손쉽게 공유폴더의 모든 파일을 스냅샷의 파일로 복원할 수 있습니다. 이 방법은 시간이 몇 초밖에 걸리지 않습니다.

robocopy 명령어를 사용하여 랜섬웨어에 감염된 파일만 복사하였습니다.

  • 랜섬웨어에 감염된 파일의 종류를 dir 명령어로 뽑은 다음에 robocopy 명령어를 사용해서 그 종류의 파일만 스냅샷의 파일로 복사했습니다.
  • 파일복사가 끝난 후에 rhkjzpo 파일과 readme.txt 파일은 탐색기에서 검색하여 삭제하였습니다.
  • rhkjzpo 파일 삭제시 주의할 점이 한가지 있는데요. 랜섬웨어에는 감염이 되었지만 스냅샷에는 존재하지 않는 파일은 흔적도 없이 사라진다는 점입니다. 예를 들어 어제 견적서.xlsx 파일을 만들었고, 이 파일이 랜섬웨어에 감염이 되어서 견적서.xlsx.rhkjzpo로 이름이 변경이 되었고, 가장 최근의 스냅샷은 그저께일 경우인데요. 그저께의 스냅샷으로 부터 모든 xlsx 파일을 복사해 와도 견적서.xlsx 파일은 생성되지 않습니다. 그 상태에서 견적서.xlsx.rhkjzpo 파일마저 삭제하면 견적서.xlsx 파일은 존재했는지 조차 모를 수 있습니다.
  • 랜섬웨어에 감염된 파일만 복원하기 위해서는 우선 감염된 파일의 종류(파일의 확장자)를 찾아야 합니다. dir 명령어를 사용해서 파일의 이름이 rhkjzpo로 끝나는 파일을 모두 찾아냅니다.
  • 그 후 파일의 종류(파일의 확장자)만 뽑아냅니다. 서브라임 텍스트3에서 다음 검색어를 사용하면 됩니다.
    \.[a-z]{1,}\.rhkjzpo$
  • 그 후 중복되는 행을 제거하면 감염된 파일의 종류(파일의 확장자)만 남게됩니다.
  • robocoopy로 파일을 복사하려면 탐색기에서 스냅샷을 볼 수 있게 만들어야 합니다. 나스의 Snapshot Replication 패키지에서 “스냅샷을 보이게 만들기”에 체크해 줍니다.
  • robocopy 명령어로 파일을 복사합니다.
    robocopy z:\#snapshot\GMT+09-2020.10.27-07.00.02 z:\ *.ai *.db *.eps *.psd *.ppt *.doc *.pptx *.pdf *.docx *.lst *.xlsx *.xls *.hwp *.dib *.dwg *.jfif *.obj *.svgz *.key /e /v /tee /log+:c:\robo.log
  • 랜섬웨어에 감염된 파일의 총 용량은 대략 90GB,  복사에 소요된 시간은 1시간 정도입니다.
  • robocopy 명령어로 복사가 완료되면 rhkjzpo 파일과 readme.txt 파일은 탐색기에서 *.rhkjzpo과 readme.txt로 검색하여 삭제합니다. readme.txt란 이름은 랜섬웨어 뿐만아니라 여러 프로그램에서도 사용하는 이름이므로 무조건 삭제하지 말고 검색결과를 수정한 날짜로 정렬해서 rhkjzpo 파일이 생성된 시간대의 파일만 삭제해 줍니다.

답글 남기기