ERP서버 환경(8년 전 모델)
OS: Win Serv 2008 R2 Entp SP1
DBMS: MS SQL 2008 E2
NET: only 내부접속
DISK: C(사스, 레이드1, 120기가), DE(사스, 노레이드, 파티션 분할, 300기가)
1. 출근하자마자 늘 그랬던 것 처럼 서버 점검을 하는데 ERP 서버 바탕화면만 보아도 이상했음. 파일 몇개 살펴보니 더 살펴볼것도 없이 랜섬웨어 감염을 확신했음. 백신은 삭제되었음. (V3 net for Server 사용)
2. 랜섬웨어에 감염된(이하 암호화된)파일은 그러나 이전의 암호화된 파일과는 다르게 랜섬노트를 생성하지 않았고 기존의 파일명과 확장자는 유지하되 그 뒤로 복호화에 필요한 코드 몇 자리와 이메일주소, 그리고 Devos라는 확장자로 마무리 되는점이 특이했음
3. 암호화된 시간을 확인해보니 당일 오전 6시 전후부터 오전 8시 전후로 주요 파일을 암호화 시켰음
4. 일단 랜선을 뽑고, 프로세스를 확인해보니 recuvadb.exe 라는 프로세스가 파일을 암호화한것으로 확인함. 이 실행파일은 시작프로그램에 등록되어 있었고 User\appdata\local 내 위치하고 있었음
5. 우선 파일을 압축하여 보존하고 안랩에 신고조치하고, 이벤트뷰어를 살펴보니 당일 오전 5시 30분에 원격데스크톱으로 접속한 의심가는 기록을 찾을 수 있었는데 접속지는 ERP 유지보수 업체로 유일하게 외부에서 접속할 수 있는 경로이고 방화벽에서 화이트리스트로 관리하고 있었음(NAT)
6. DB도 암호화되었는데 DB백업파일은 다른 디스크에 백신으로 쓰기금지를 설정해 놓은 디렉토리내 sql프로세스만 허용하여 백업파일을 보관하고 있었음. 근데 백신이 삭제되어 DB도 암호화되었음(1차 병크) 원래는 물리적으로 연결이 차단된 하드디스크에 백업파일을 보관해 놓았었는데 총무업무를 병행하다보니 시간이 부족해서 나름 잔머리를 굴린다고 굴렸는데.. 1년 6개월 동안 문제없이 쓰다가 이렇게 뚫려버림...
7. 다른 서버도 점검했는데 다른 서버는 이상 없었음. 방화벽, 작업스케쥴러, 백신, 프로세스, 서비스 등 싹 검사했는데도 불안함.. ㄷㄷ
8. 팀장에게 먼저 보고하고 대표는 부재중. ERP업체와 연락하여 대략 떠 봤는데 지네가 유지보수 하는 다른 업체도 랜섬웨어에 감염되었다며 호들갑....... 방문 요청하고 복구 방법 고민. 대표님은 현재 진행중인 큰 프로젝트가 있어서 빠른 복구 주문
9. 복구방법은 두가지였는데 복구 가능한 온전한 백업파일은 약 1년전 파일로 복구 후 현재까지의 데이터를 수기로-_-.... 입력하는 방법(사실상 불가능), 또 다른 하나는 유포자의 요구사항을 들어주고 복호화하는 방법
10. 이 와중에 ERP 유지보수업체에서 랜섬웨어 복구 자체기술이 있다는 업체를 소개 받았는데 빙빙 둘러 얘기만하더니 결국 랜섬웨어 방지 솔루션 영업... 바로 차단
11. 대표님 복귀하여 보고 후 각 부서 팀장 소집하여 1년전 백업본으로 복구한 뒤 현재까지 데이터 입력하는데 얼마나 시간이 걸릴지 계산하라고 하고 나에게 유포자와 컨텍하라고 함
12. 각 부서 팀장님들 안색 급격히 어두워짐. 나한테 무슨 방법 없냐고 호소. 나도 딱히 답을 해 드릴순없었음. 유포자에게 메일로 연락하니 다른 랜섬웨어 유포자 요구랑 별 다르지않음 결론적으로 1.24비트코인 요구(당시 시세로 약 1,200만원)
13. 금액 보고 후 먹튀 리스크 고민하다가 방법이 없어 진행하기로 함. 국내 유명 복구 업체 중간에 끼고 진행
14. 유포자는 입금 받고 복구툴 제공. 복구하는데 약 2시간 걸림. DB.bak파일은 무슨 문제인지 복구가 안됨. mdf와 ldf로 복원하기로 함
15. 이제부터 진짜 병크 시작
16. mdf가 온전한지 확인하기위해 또 bak을 만들어 복구하기 위해 ERP서비스를 돌리려니 DB 정합성이 깨져서 그런지 MS SQL서비스가 제대로 돌아가지 않음
17. 임시 서버 하나 만들어서 테스트해보는데 복구가 계속 안됨. 자세한 내용은 해가 될 수 있어 생략(병크 2)
18. 어쨋거나 ERP서버를 정상화 하기 위해 일단 포멧후 세팅하고 운용해야하는데 랜섬웨어를 신고하면 이 서버는 중요 증거가 되어 보존하는게 맞음. 그러나 여분의 서버는 없고 준비하기까지 시간이 오래 걸림. 서버는 포멧하되 내용은 최소한 보존이라도 하기 위해 이미지를 뜨기로 함
19. 디스크를 이미지 뜨려고 보니 용량이 부족했고 혹시 하는 심정으로 USB 외장하드를 물려 시도했으나 인식을 못해 실패
20. 남는 SAS하드를 추가하여 용량 확보후 이미지를 뜨려고했는데 ERP SAS는 2.5인치.. 여분의 하드는 3.5인치 (병크 3)
21. GUI에서 작동하는 이미지툴로 시도했으나 왜인지 4시간동안 잘 진행하다가 오류메세지 뿜고 실패(병크 4)
22. 이미지뜨는게 실패해서 포기하고 로그나 저장하려고 보니 D, E드라이브 상태 이상
23. 배드섹터증상과 흡사하여 떼서 테스트 pc에서 검사해보니 배드발생. 논리배드일수도 있어서 로우포멧 해봤지만 물리배드 다행히 중요정보는 백업되어 있었음(병크 5)
24. 하드를 떼버리고 레이드걸려있는 120기가짜리 C를 포멧하고 윈도설치하고 sql설치하니 db를 운용할 여유공간이 얼마 없음. 마침 5월 연휴 직전이라 구입해도 연휴 끝나고 올것 같아 평소 친분있는 업체에 도움 요청하니 다음날 오전 11시에 하드 하나 가져다 줬음
25. 다음날 하드 추가후 mdf로 db복원 성공. 서비스 정상 구동 성공
26. 올해 초에 서버 및 소프트웨어 품의를 올렸으나 잘 쓰고있다는 이유로 반려당했었는데 이번 일을 계기로 새로 구입함.
27. 키사에 연락하여 도움 요청하니 erp유지보수업체 pc 확보 요청 받음. 이건 현재 진행 중....
28. 빠른 시일 내 경찰에 신고할 예정
29. 전산관리자로 입사했는데 인력 충원을 부담스러워하는 팀장 아래 별의 별 총무업무를 병행하다보니 자연스럽게 전산업무의 퀄리티가 떨어지게 됨. 전산실에 들어가 있는것 자체를 못마땅하게 여김.. ㄷㄷ... 나도 시간이 오래 걸리는 로그 확인, 백업 검증등의 작업은 패스한지 오래... 이번일을 계기로 업무분장을 요청했으나 팀장은 별 대꾸없는 중(핵 답답)
끝.
'Daily Life > 이슈' 카테고리의 다른 글
| 힙합가수 아이언, 미성년자 룸메이트 ‘야구방망이’ 폭행(종합) (0) | 2020.12.10 |
|---|---|
| “조두순 ‘화학적거세’ 효과 없어… 알코올중독 치료부터” (0) | 2020.12.10 |
| 홍천 코로나 7번째 확진자 발생 교인 감염자 속출 (0) | 2020.09.18 |
| 무한도전 남자다잉 노홍철 제스쳐에 꽂힌듯한 방탄소년단 (0) | 2020.09.18 |
| 옛날 노래 추천 100곡 (싸이월드 bgm 감성) (0) | 2020.09.01 |
Runer
IT / 일상 / 먹방 / 꿀팁 / 유틸
