비트락커(BitLocker) 랜섬웨어는 윈도우 서버의 드라이브 전체를 암호화한 뒤 내부적으로 파일을 하나씩 순차 암호화하는 방식으로 동작합니다. 감염되면 드라이브 접근이 차단된 것처럼 보이지만 실제로는 파일 단위 암호화가 계속 진행 중이며, 해커는 암호화된 드라이브 안에 복구키를 숨겨두기도 합니다. 많은 이용자가 서버를 켜둔 채 방치하지만, 이 경우 암호화가 계속 진행되어 피해가 커집니다.
감염을 인지한 즉시 가장 중요한 대응은 서버 전원을 끄는 것(셧다운)입니다. 전원을 차단해야 추가 파일 암호화를 막고 디지털 포렌식으로 복구키를 찾을 가능성을 확보할 수 있습니다. 반대로 하드디스크를 포맷하거나 새 디스크로 교체하는 것은 치명적 실수이므로 절대 포맷하지 말고 곧바로 전문가에게 의뢰하는 것이 바람직합니다. 서버에 주로 쓰이는 SAS 디스크는 암호화 속도가 비교적 느려 복구키를 찾을 여지가 있습니다.
복구는 디지털 포렌식을 기반으로 진행됩니다. 기존 OS로 부팅하면 암호화가 계속되므로, Rufus로 WTG(Windows To Go) 외장 부팅 디스크에 동일한 윈도우 서버 OS를 설치한 뒤 외장으로 부팅합니다. 이후 FTK Imager로 OS 영역과 암호화된 모든 디스크의 포렌식 이미지를 빠짐없이 확보하고, 이를 정밀 분석해 비트락커 복구키와 데이터베이스를 찾아냅니다.
BaileyTech의 경험상 서버의 복구키 확보 확률은 약 70% 수준이며, 설령 복구키를 찾지 못하더라도 정밀 분석과 디지털 포렌식으로 데이터를 복구할 가능성이 충분히 남아 있습니다. 따라서 감염 직후에는 전원 차단과 디스크 보존만 하고, 나머지 복구 작업은 전문 업체에 맡기는 것이 안전합니다.
