BaileyTech가 1편에 이어 공개한 후속 글로, 비트락커 랜섬웨어 감염 서버의 복구 가능 여부와 원리를 다룹니다. 핵심은 비트락커로 암호화된 디스크 자체를 복호화하는 것은 사실상 불가능하다는 점이며, 실제로 가능한 유일한 방법은 하드디스크에 남아 있는 비트락커 복구키(Recovery Key)를 디지털 포렌식으로 찾아내는 것입니다.
복구 과정은 현장에서 감염 서버의 디스크를 통째로 이미지로 확보하는 것에서 시작합니다. 약 1TB 디스크 기준 이미징에 6시간가량이 소요되며, 그 사이 감염 경로 등 기본 분석을 끝내 분석팀에 방향성을 제공합니다. 이후 포렌식 분석으로 복구키 파일의 정확한 파일명과 위치를 특정해 탐색 시간을 줄이고 빠르게 키를 찾아냅니다.
1편 공개 후 주당 4~5건의 현장 출동이 이어졌고 성공·실패 사례가 모두 발생했습니다. 성공한 곳은 감염 직후 즉시 셧다운하고 연락한 고객사였고, 실패한 곳은 감염 후 3일간 서버를 켜둔 고객사였습니다. 따라서 감염 시 즉시 서버를 종료하는 것이 복구 성공의 핵심 조건임을 강조합니다.
BaileyTech는 성공·실패 여부와 무관하게 요약 포렌식 리포트와 재감염 방지 매뉴얼을 기본 제공합니다. 글 말미에는 재감염 위험 경고와 함께, 들어오는 경로는 열되 나가는 경로를 하드웨어 레벨에서 차단하는 백업 금고를 후속 공격 대비책으로 소개합니다.
