database 랜섬웨어 감염시 감염 파일 찾는 방법...??

[김종록]

데이터베이스 서버가 랜섬웨어에 감염되면, 랜섬웨어는 일반적으로 특정 확장자를 가진 파일이나 중요 데이터가 저장된 디렉토리를 대상으로 암호화를 시도합니다. 이런 상황에서 디렉토리와 파일을 찾는 방법은 다음과 같습니다:

---

🔍 1. 의심 파일 및 디렉토리 탐색 방법 ✅ 랜섬웨어 확장자 확인

• 대부분의 랜섬웨어는 암호화된 파일에 고유 확장자를 추가합니다 (예: .locked, .encrypted, .7z.encrypted, .deadbolt 등).

• 다음 명령어를 사용하여 의심스러운 확장자를 가진 파일을 탐색할 수 있습니다:

Linux/Unix:

find / -type f \( -name "*.locked" -o -name "*.encrypted" -o -name "*.deadbolt" \) 2>/dev/null

Windows (PowerShell):

Get-ChildItem -Path C:\ -Recurse -Include *.locked, *.encrypted, *.deadbolt -ErrorAction SilentlyContinue

---

✅ 최근 수정된 파일/디렉토리 찾기

• 랜섬웨어는 최근에 파일을 변경하므로, 마지막 수정 시간을 기준으로 탐색할 수 있습니다.

Linux:

find / -type f -mtime -2 2>/dev/null

Windows (CMD):

forfiles /P C:\ /S /D +05/31/2025

Windows (PowerShell):

Get-ChildItem -Recurse | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-2) }

---

📁 2. 데이터베이스 관련 파일 위치

데이터베이스 종류에 따라 중요한 데이터 파일의 기본 경로는 다음과 같습니다:

🟡 MySQL / MariaDB

• /var/lib/mysql/ (Linux)

• C:\ProgramData\MySQL\MySQL Server X.X\data\ (Windows)

🔵 PostgreSQL

• /var/lib/postgresql/

• 데이터 디렉토리는 SHOW data_directory; 로 확인 가능 (psql 접속 후)

🔴 Microsoft SQL Server

• C:\Program Files\Microsoft SQL Server\MSSQLXX.MSSQLSERVER\MSSQL\DATA\

⚫ Oracle DB

• 데이터 파일: *.dbf, 로그 파일: *.log, 제어 파일: *.ctl

• 위치: $ORACLE_BASE/oradata/

---

🚨 3. 기타 확인 사항

• 랜섬 노트 (Ransom Note): README.txt, HOW_TO_DECRYPT.txt, DECRYPT_FILES.html 등의 텍스트 파일이 암호화된 폴더에 함께 생성됨.

• 로그 확인: 시스템 로그(/var/log, Windows Event Viewer)에서 이상 접근 시도나 파일 변경 기록 추적 가능.

• 자동 실행 프로그램 검사: 랜섬웨어가 재부팅 시 재실행되도록 설정되어 있을 수 있음 (윈도우: msconfig, Task Scheduler, Startup 폴더 등)

---

🛡️ 4. 대응 방안

1. 즉시 감염 시스템 격리 (네트워크 차단)

2. 백업 복원 여부 확인

3. 포렌식 분석 후 복구

4. 보안 강화 (패치, 백업 시스템 재설계, 접근 제어)

---

필요하면 랜섬웨어 종류에 따른 분석 도구나 복호화 도구도 추천해드릴 수 있습니다. 감염 파일이 있다면 샘플 이름이나 확장자 알려주시면 분석 도와드릴게요.