시놀로지 NAS encrypt 랜섬웨어에 감염 복구할 수 있을까?

아마 요즘 개인용 데이터 백업으로 NAS를 사용하는 분들이 많을 겁니다.

저도 시놀로지 NAS를 데이터 백업과 웹서버로 설정해 외부에서 접속 데이터 백업 용도로 사용 중인데 갑자기 저장공간이 꽉 찼다는 메시지와 함께 더 이상 NAS에 사용할 여유 공간이 없음을 확인했습니다.

 

데이터를 이중 백업하기 때문에 외부에서 접속하는 NAS의 경우 저장소가 60%를 넘기는 경우가 없는데 이상하게 저장소에 꽉 차있어서 각 폴더를 열어보니 파일명에 encrypt 확장자가 붙은 파일들이 대량으로 생성되어 있음을 확인했습니다.

 

NAS 저장소

 

나스의 데이터가 저장된 폴더를 몇 개 열어보니 모든 폴더에 encrypt 확장자가 붙은 파일들이 디스크가 꽉 찰 때까지 생성되어 있고 각 폴더에 README_FOR_DECRYPT.txtt라는 텍스트 파일이 있음을 확인할 수 있습니다. 

 

랜섬웨어에 감염된 NAS

 

encrypt 랜섬웨어에 나스가 감염되어 모든 파일에 암호가 걸려서 사용할 수 없게 되었습니다.

유일하게 오픈이 되는 파일은 README~ 로 시작하는 텍스트 파일로 이 파일을 열면 파일을 복구하고 싶다면 QR 코드를 스캔 후 비트코인을 보내라는 메시지를 볼 수 있습니다. 

로그 기록을 확인할 수 없기 때문에 사실 어떤 경로로 감염됐는지 알 수 없지만 파일들이 생성된 시간을 보니 10월 18일 새벽에 나스가 랜섬웨어에 감염된 것 같습니다.

 

구글과 몇 곳에서 검색해보니 encrypt 랜섬웨어에 감염된 경우 데이터 복구는 힘들고 대부분 해커한테 비트코인만 뜯긴 거 같더군요. 결론을 이야기하면 encrypt 랜섬웨어에 감염되면 복구할 방법은 없는 것 같습니다.

 

다행히 개인용으로 사용하는 NAS고 다른 백업이 하나 더 있기 때문에 공장 초기화를 했습니다.

 

시놀로지 NAS 공장값 재설정

 

시놀로지 나스의 경우 공장 초기화를 하는 방법이 두 가지인데 하드웨어에서 리셋 버튼을 눌러하는 방법과 DSM에서 제어판 시스템 재설정에 보면 공장값 재설정이 있습니다.

 

공장 초기화를 할 경우 모든 데이터는 사라지게 되고 나스는 처음 구입했을 때 상태로 돌아가게 됩니다.

 

시놀로지 NAS snapshot

 

그러나 만약 시놀로지 NAS의 Snapshot Replication을 사용하고 있었다면 랜섬웨어에 감염되기 전의 시간으로 돌리면 되기 때문에 데이터를 복구할 수 있습니다.

 

현재 encrypt 랜섬웨어중 NAS만 감염시키는 랜섬웨어가 유행이라고 하는데 한번 감염되면 백업을 따로 해놓지 않았다면 데이터 복구는 어렵습니다.

혹시 나스를 사용하고 있다면 꼭 이중 백업을 해두고 외부에서 접속해 사용하는 경우가 많다면 기본 포트 번호를 바꾸는 것이 좋습니다. 그리고 시놀로지 나스의 경우 패키지 센터의 스냅샷을 사용하길 권합니다.

 

맥 타임머신 백업팁 시놀로지 NAS로 백업하기

시놀로지 NAS 저장공간 계속 줄어들면 클라우드 스테이션 체크를