BaileyTech가 랜섬웨어 감염 서버를 포렌식 분석한 결과, 락커(비트락커)계열과 크립토계열 공격에는 공통된 침투 경로가 있었습니다. 두 계열 모두 미미캐츠 같은 도구로 메모리에 상주하던 관리자 비밀번호를 탈취하고, 별도의 Guest 계정을 만들어 원격 데스크톱으로 정상 로그인한 뒤 주변 윈도우 서버를 정찰해 암호화 대상을 물색했습니다. 비트락커계열은 스크립트로 감염을 실행하는 반면, 크립토계열은 90% 이상이 svchost.exe·WindowsUpdate.exe처럼 익숙한 이름으로 위장한 실행파일을 통해 감염시키는 차이가 있습니다.
피해 양상도 계열별로 달랐습니다. 비트락커계열은 임시 C드라이브에 복구키를 저장하도록 유도한 뒤 암호화된 D드라이브로 키가 함께 옮겨져 일반 복구 프로그램으로는 접근이 불가능해지고, 랜섬노트를 띄운 뒤 윈도우 이벤트 로그를 삭제합니다. 해커는 최소 1비트코인에서 최대 20비트코인까지 요구하며, 대가만 챙기고 잠적하거나 추가 금액을 요구하는 사례가 잦습니다. 크립토계열은 복호화 키를 받아도 약 40%가 복구되지 않아 협상해도 완전 복구가 어렵습니다.
BaileyTech는 모든 감염 서버를 디지털 포렌식과 AI 기반으로 접근합니다. 자체 개발한 지도학습 기반 프로그램은 정상 비트락커 복구키 1,000개와 일반 텍스트 1,000개를 학습시켜 암호화된 물리 디스크에서 복구키를 추출하고, 정상·감염 MDF·BAK 파일의 시그니처를 학습시켜 크립토 감염 디스크에서도 정상 MDF·BAK·DBF 파일만 골라내 MSSQL에서 정상 인식되도록 복구합니다.
대응의 핵심은 감염 즉시 셧다운입니다. 경험상 24시간 이내 셧다운 시 복구 확률이 높습니다. 이후 유지보수 업체나 BaileyTech 엔지니어와 상담해 협상·복구·포맷 등 방향을 정하고 진행할 것을 권합니다. 또한 소프트웨어 백업은 관리자 권한 탈취 시 함께 파괴되므로, 하드웨어 레벨에서 유출 경로를 차단하는 물리적 백업 대책을 제시합니다.
