랜섬웨어 대책에 관한 연재 기사를 이어갑니다. 지난 시간에 FSRM을 사용하여 Windows 파일 서버에서 암호화 랜섬웨어로부터 보호하는 간단한 방법을 고려했습니다. 오늘은 랜섬웨어가 이미 컴퓨터에 침투하고 사용자 문서가 암호화된 경우 파일을 쉽게 복구하는 방법에 대해 이야기하겠습니다.
암호화 랜섬웨어에 감염된 후 원본 파일을 복구하는 가장 쉬운 방법은 백업에서 복구하는 것입니다. 파일 서버에서 중앙 집중식 백업을 구성할 수 있지만 사용자 컴퓨터에서 데이터를 백업하는 것이 더 어렵습니다. 다행히 Windows에는 섀도 복사본 백업 메커니즘이 통합되어 있습니다. VSS(Volume Shadow Copy Service)에서 생성 .
VSS 스냅샷에서 이전 버전의 파일을 복구하려면 다음 요구 사항이 충족되어야 합니다.
- 보호된 볼륨에 대해 VSS를 활성화해야 합니다.
- 스냅샷을 저장할 디스크 여유 공간이 충분해야 합니다(최소 10-20%)
- 사용자는 컴퓨터에 대한 로컬 관리자 권한이 없어야 하며(승격을 실행할 때 대부분의 최신 암호화 맬웨어는 사용 가능한 모든 VSS 스냅샷을 삭제함) UAC(사용자 계정 컨트롤)를 활성화해야 합니다.
Active Directory 도메인 환경에서 스냅샷 생성 정책을 중앙에서 관리하고 암호화 랜섬웨어 공격 후 원본 파일을 쉽게 복원할 수 있는 메커니즘을 고려해 보겠습니다.
내용:
- GPO를 사용하여 도메인 컴퓨터에서 VSS를 활성화하는 방법
- GPO를 사용하여 Vshadow.exe를 사용자 컴퓨터에 복사하는 방법
- 모든 볼륨의 섀도 복사본을 만드는 PowerShell 스크립트
- VSS 스냅샷 생성을 위한 예약된 작업
- VSS 스냅샷에서 원본 파일을 복구하는 방법
- 결론
GPO를 사용하여 도메인 컴퓨터에서 VSS를 활성화하는 방법
먼저 도메인 컴퓨터에서 VSS(볼륨 섀도 복사본) 서비스를 사용하도록 설정하는 그룹 정책을 만듭니다. 이를 수행하려면 GPMC.msc에서 콘솔에서 VSSpolicy라는 이름으로 새 GPO 개체를 만듭니다. 사용자 컴퓨터를 포함하는 OU에 할당합니다.
이제 GPO를 편집하십시오. 컴퓨터 구성->Windows 설정->보안 설정->시스템 서비스 의 서비스 목록에서 볼륨 섀도 복사본 찾기 자동 설정 시작 유형.
GPO를 사용하여 Vshadow.exe를 사용자 컴퓨터에 복사하는 방법
사용자 컴퓨터에서 섀도 복사본을 만들고 관리하려면 vshadow.exe 도구가 필요합니다. Windows SDK에서. 이 예에서는 Windows 7 x64용 SDK의 vshadow를 사용합니다(제 경우에는 Windows 7과 Windows 10 x64에서 모두 올바르게 작동했습니다). GPP를 사용하는 모든 컴퓨터의 %windir%\system32에 vshadow.exe를 복사합니다.
팁 <강하다>. 다음 링크를 사용하여 vshadow.exe를 다운로드할 수 있습니다. vshadow_exe_win7x64.zip
그런 다음 컴퓨터 구성 -> 기본 설정 -> Windows 설정 -> 파일에서 \\domain.loc\SYSVOL\domain.loc\scripts\vshadow.exe에서 vshadow.exe를 복사하는 새 정책 생성(파일은 이전에 여기에 복사해야 함) 으로 %windir%\system32\vshadow.exe <엠>. 이 정책은 한 번만 적용되도록 구성할 수 있습니다(한번만 적용하고 다시 적용하지 않음).
모든 볼륨의 섀도 복사본을 만드는 PowerShell 스크립트
다음으로 시스템의 드라이브 목록을 감지하고 섀도잉을 활성화하고 새 VSS 스냅샷을 생성하는 스크립트가 필요합니다. 다음 스크립트가 있습니다:
$HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3"
foreach ($HDD in $HDDs) {
$Drive = $HDD.DeviceID
$vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
$vsscreatess = "vshadow.exe -p $Drive"
cmd /c $vssadminEnable
cmd /c $vsscreatess
}
첫 번째 문자열을 사용하면 시스템의 모든 드라이브를 찾을 수 있으며 vshadow는 각 디스크에 대해 섀도우를 활성화하고 새 복사본을 만듭니다. 복사본은 공간의 10% 미만을 차지해야 합니다.
이 스크립트를 vss-script.ps1 파일에 저장합니다. GPP를 사용하여 사용자 컴퓨터에도 복사합니다.
VSS 스냅샷 생성을 위한 예약된 작업
마지막으로 해야 할 일은 모든 컴퓨터에 예약된 작업을 만들어 정기적으로 vss-script.ps1을 실행하고 모든 드라이브에 대한 새 스냅샷을 만드는 것입니다. GPP를 사용하여 이 작업을 만드는 것이 더 쉽습니다. 이를 수행하려면 GPO 섹션 컴퓨터 구성 -> 기본 설정 -> 예약된 작업에서 create vssnapshot이라는 이름으로 새 예약된 작업(새로 만들기-> 예약된 작업(최소 Windows 7))을 만듭니다. , NT AUTHORITY\System으로 승격되어 실행되어야 합니다. .
작업이 매일 오후 1시 20분에 실행되어야 한다고 가정합니다(여기서 스냅샷을 생성할 빈도를 생각해야 합니다).
실행할 스크립트:%windir%\System32\WindowsPowerShell\v1.0\powershell.exe
%windir%\system32\vss-script.ps1 인수 사용
$vssadminDeleteOld = “vshadow.exe -do=%$Drive”
cmd /c $vssadminDeleteOld
VSS 스냅샷에서 원본 파일을 복구하는 방법
사용자의 컴퓨터가 랜섬웨어에 감염된 경우 관리자 또는 기술 지원팀 직원이 스냅샷에서 암호화된 문서를 복구할 수 있습니다.
다음 명령을 사용하여 사용 가능한 모든 스냅샷 목록을 표시할 수 있습니다.
vssadmin.exe list shadows
이 예에서 최신 스냅샷은 2016년 10월 6일 오전 1:33:35에 생성되었으며 섀도 복사본 ID ={6db666ac-4d42-4734-8fbb-fad64825c66c}입니다.
이 스냅샷을 ID별로 별도의 시스템 드라이브로 읽기 전용 모드로 마운트:
vshadow -el={6db666ac-4d42-4734-8fbb-fad64825c66c},Z:
이제 파일 탐색기나 다른 파일 관리자를 사용하여 디스크 Z:에서 원본 파일을 복사합니다.
스냅샷으로 디스크를 마운트 해제하려면:
mountvol Z:\ /D
결론
물론 VSS는 암호화 랜섬웨어에 대한 보호 수단이 아니며 컴퓨터 보안에 대한 포괄적인 접근 방식(바이러스 백신 소프트웨어, SRP/AppLocker 정책, 평판 필터, SmartScreen 등)을 취소하지 않습니다. 그러나 제 생각에는 볼륨 섀도 복사의 단순성과 가용성은 암호화된 데이터를 복구하는 이 방법의 큰 장점이며, 이는 사용자 컴퓨터에 맬웨어가 침투한 경우에 유용할 수 있습니다.