DDoS 자폭 공격으로 인한 HDD 손상 복구

지난 주 이슈가 된 DDoS 공격과 관련하여 좀비 PC가 되었다가 자폭(자기 삭제) 공격에 당한 PC가 주변에 없어서 궁금하던차.. 직원들에게 부탁하여 직원's 지인분의 PC를 잠시 살펴 볼 좋은 기회가 있었습니다.

C: 드라이브가 아닌 D: 드라이브의 다소 중요한 파일들이 있는데.. 복구를 시도 해보겠다는 조건으로 직원들과 같이 살펴 보기로 했습니다. *^^*

 

해당 사용자분께서는 XP를 운영체제에 디스크샷™과 같은 복구 솔루션을 사용하지 않으셨고, D: 드라이브에 이미지 백업 솔루션으로 이미지 백업을 해두시고 사용하시는 사용자였으며, 뉴스에서 바이러스 검사를 해보라고 하기에 주말에 (안전모드가 아닌 일반 모드 부팅 후..) V삼 DDoS 전용 백신을 다운받아서 검사를 하는 도중 PC가 재부팅 되면서.. 아래 이미지처럼 정상적인 부팅이 불가하였다고 합니다. (C: 는 FAT32,  D: 는 NTFS로 전해 들었습니다.)

이 상태의 PC를 PE로 부팅을 해보니.. 윈도우(PE)의 디스크 관리자 및 HDTune 툴에서도 예상대로 MBR이 Wipe(0으로 초기화)되어 파티션이 아예 없는 새 HDD 처럼 확인이 되었습니다. (대상 디스크는 250GB HDD 입니다.)

아래는 덤프를 뜬 MBR(Defected.TXT)의 상태입니다.

DDoS 악성코드가 시간상 전체 HDD를 Wipe 하지는 못했을 것으로 판단하고  파티션 복구시 유용하게 사용하고 계시는 TestDisk로 파티션을 복구 해 보기로 했습니다.(참고: http://www.diskool.com/685874)

 

* PE로 부팅한 상태에서 TestDisk 윈도우용을 실행하였습니다. (v6.11.3)

   > 과정은 설명없이 스샷만 소개드리겠습니다.

 

① 새로 로그파일 생성 선택..

② 작업할 디스크(삼성 250GB) 선택..

③ 일반적인 윈도우용 파티션(Intel ??) 선택..

④  파티션 구조 분석 및 손상된 파티션 검색 선택..

⑤ 현재 검색된 파티션 없음을 확인하고 빠른 검색을 선택..

⑥ XP를 사용하셨으니 N를 선택..

⑦ 다행이 두개의 파티션이 검색이 되었습니다.

⑧ 검색된 파티션 정보를 MBR에 쓰기(Write)를 선택하였습니다.

⑨ MBR에 쓰는 과정이므로 한번더 확인을 합니다. Y

⑩ 파티션 정보 쓰기 작업이 완료 되었습니다.

어떻게 되었을까요? *^^*

 

재부팅 후 확인을 하니 FAT32 파티션이었던 C: 드라이브는 파일이 하나도 없는 상태였습니다. (아마도 FAT까지 Wipe가 된것으로 예상이 됩니다.)

하지만 D: 드라이브(NTFS)는  거의 완벽하게 복구가 된 상태로 확인이 되었습니다.

다행이 내문서/바탕화면/즐겨찾기등의  사용자 폴더를 D: 드라브로 옮겨 두고 사용을 하셨던 분이라 중요 파일과 개인적인 파일들 모두 원상태 그대로 확인이 되었으며,  D: 드라이브에 있던 백업 이미지를 이용하여 C: 드라이브 복구작업 또한 원할하게 진행이 되었습니다. (백업 이미지등으로 복구후 부팅이 되지 않는 경우, FDisk 나 GDisk, MBRWizard 등으로 MBR을 초기화 해 주시면 됩니다.)

아래는 복구 후 덤프를 뜬 MBR(Recover.TXT)의 상태입니다.

이처럼 생각보다 간단하게 복구가 되어, 정상적인 모습으로 사용자에게 돌려 드렸답니다. *^^*

다만, 시간 관계상 바로 복구(이미지)를 해버려서 정확하게 C: 드라이브의 어느 영역까지 손상이 되었는지 여부를 자세히 확인하지 못한 것이 약간 아쉬운점으로 남았습니다.

 

디스쿨 회원분들께서는 대부분 디스크샷™을 사용하시기 때문에, DDoS 자기 파괴 공격이나 MBR을 공격하는 바이러스에 감염이 되어도 문제없이 보호가 가능하겠습니다만.. 혹시나 참고가 되실까? 해서 스샷위주로 간단히 소개를 드렸습니다.

 

참고만 하시길 바랍니다.

Defected.TXT

Recover.TXT