공유 폴더의 파일이 7z 파일로 바뀌었어요.
시놀로지 NAS를 사용하고 있는데요. 공유 폴더 내부의 파일이 모두 사라지고 “공유 폴더 이름.7z” 파일이 생겼습니다. 이 파일은 공유 폴더 내부의 모든 파일을 7z로 압축해 놓은 파일로 추측됩니다. 공유 폴더 내부의 파일이 7z 파일로 변경된 이유는 랜섬웨어에 감염되었기 때문입니다.
7z 파일과 더불어 “Please Read Me !!!.txt”, “Please Read Me !!!.pdf”두 개의 파일도 들어있는데요. 이 파일은 “공유 폴더의 파일을 복원하려면 이 계좌로 얼마를 보내시오.”라는 안내문(?) 입니다. 현재 시세로 150만원 정도의 비트코인을 보내라고 되어 있습니다.
소요시간 : 10분 어려움 : ★★★★★
비밀번호 변경하기. 스냅샷으로 복원하기.
시놀로지는 Snapshot Replication 패키지를 제공합니다. 이 패키지는 공유 폴더 내부의 파일을 과거 버전으로 되돌리는 기능을 제공합니다. 랜섬웨어에 감염된 경우 또는 다른 이유로 파일이 손상된 경우에도 손상되기 이전의 파일로 복원을 가능하게 해주는 아주 유용한 기능입니다.
Snapshot Replication 패키지를 통해서 파일을 복원하려면 파일이 손상되기 이전에 Snapshot Replication 패키지의 셋팅이 완료되어 있어야 합니다. 파일이 이미 손상된 이후에 Snapshot Replication 패키지 설치한다고 해서 파일을 복원할 수 있는 게 아닙니다. 따라서 NAS를 구매하면 Snapshot Replication 패키지를 반드시 설치하고 설정을 올바르게 잡아두기를 권장합니다. NAS를 점검하다 보면 50% 정도는 Snapshot Replication 패키지를 사용하지 않는 것 같습니다.
랜섬웨어에 감염된 공유 폴더의 파일을 Snapshot Replication으로 복원하려면
- 랜섬웨어에 감염되기 이전에 Snapshot Replication 패키지를 설치했고
- 랜섬웨어에 감염되기 이전에 스냅샷을 촬영했고
- 촬영한 스냅샷이 랜섬웨어에 감염된 이후에도 남아있어야 합니다.
쉽게 이야기하면 스냅샷을 매일매일 촬영하고 10일을 보존할 경우, 랜섬웨어에 감염되고 10일이 지나지 않아야 복원이 가능하다는 말입니다.
스냅샷으로 복원하는 과정
- “복구” 클릭
- 복원할 공유 폴더 클릭
- “복원” 클릭
- 어느 날짜의 파일로 복원할지 클릭
- “작업” 클릭
- “이 스냅샷으로 복원” 클릭
- “확인”클릭
확인을 클릭하면 몇 초 만에 공유 폴더 내부의 모든 파일이 ④에서 선택한 날짜의 파일로 복원됩니다.
“복원 전 스냅샷 촬영”에 체크하면 현재 시점(랜섬웨어에 걸린 상태)의 스냅샷을 찍어 놓게 되는데요. 혹시 모를 이유로 현재 상태가 다시 필요할 수도 있으므로 우선은 현재 시점을 보존해 놓기를 권장합니다. 복원이 성공적으로 돼서 현재 시점이 필요 없다고 판단되면 현재 시점의 스냅샷은 삭제하면 됩니다.
궁금하면 ↓↓↓↓
아이디와 비밀번호를 어떻게 알았는지는 미궁으로 남았습니다.
어느 날 새로운(낯선 장소 또는 낯선 기기에서) 로그인을 했다는 메일이 수신되었습니다. 장소가 해외로 나옵니다.
해외에서 로그인한 직후부터 볼륨의 사용량이 증가합니다. 공유 폴더의 파일을 7z로 압축하므로 볼륨의 읽기와 쓰기가 증가하는 것으로 생각됩니다.
| 수준 | 로그 | 시간 | 사용자 | 이벤트 |
|---|---|---|---|---|
| 경고 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [해외IP주소_3] failed to sign in to [DSM] via [password] due to authorization failure. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-XXXXXXX(192.168.0.X)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 경고 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [해외IP주소_2] failed to sign in to [DSM] via [password] due to authorization failure. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-XXXXXXX(192.168.0.X)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-XXXXXXX(192.168.0.X)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [해외IP주소_1] signed in to [DSM] successfully via [password]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [해외IP주소_1] signed in to [DSM] successfully via [password]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-XXXXXXX(192.168.0.X)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-XXXXXXX(192.168.0.X)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [192.168.0.X] signed in to [DSM] successfully via [password]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-XXXXXXX(192.168.0.X)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-YYYYYYY(192.168.0.Y)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-XXXXXXX(192.168.0.X)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-ZZZZZZZ(192.168.0.Z)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-XXXXXXX(192.168.0.X)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-ZZZZZZZ(192.168.0.Z)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-ZZZZZZZ(192.168.0.Z)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [192.168.0.Z] signed in to [DSM] successfully via [password]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-ZZZZZZZ(192.168.0.Z)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
| 정보 | 연결 | 2023/월/일 시/분/초 | user_id | User [user_id] from [DESKTOP-YYYYYYY(192.168.0.Y)] via [CIFS(SMB2)] accessed shared folder [폴더이름]. |
랜섬웨어 감염에 사용된 아이디가 최근 한 달간 로그인한 기록입니다. 로그인에 실패한 기록이 한 번도 없습니다. 이 말은 해외에서 접속할 때 이미 나스의 주소와 아이디와 비밀번호를 알고 있었다는 의미로 해석되는데요. 이게 어떻게 가능한지가 의문입니다.
보통은 아이디와 비밀번호를 무작위로 대입하는 방식으로 감염이 되는데요. 이 방법은 로그인 실패 기록이 무수히 많이 남게 됩니다. 로그인에 실패한 두 번의 기록은 랜섬웨어에 감염된 것을 인지하고 계정의 비밀번호를 변경했기 때문에 발생한 기록입니다.
