NAS · 서버 랜섬웨어 데이터 복구

랜섬웨어 감염 데이터,
분석을 진행할 수 있습니다.

랜섬웨어 감염 시 추가 작업을 멈추고 원본 상태를 유지해야 합니다.
복구천사는 1:1 이미징 후 Btrfs·Ext4 구조를 분석해 확인 가능한 데이터 범위를 안내합니다.

랜섬웨어 초기 진단 신청 📞 1544-3598
다수 사례 실패 시 0원 1:1 이미징 보존 ISO 27001
랜섬웨어 감염된 NAS 파일 목록 화면 - W2qyd45Sz 확장자로 암호화된 파일들과 README 텍스트 파일·SHINWOO.7z 압축파일 등 랜섬웨어 감염 후 파일 변경 상태 RECOVERY ANGEL · NAS·서버 랜섬웨어 감염 진단
🛡️
1:1 이미징 보존 원본 안전 유지
다수
결과 확인 해당 사례 기준
Immediate Action Required

랜섬웨어 감염 시 즉시 조치 사항

랜섬웨어 감염이 의심되면 즉시 NAS 전원을 차단하고 추가 시도를 멈춰야 합니다.
잘못된 작업은 확인 가능한 데이터 범위를 줄일 수 있습니다.

① 즉시 전원 차단

NAS·서버 전원을 즉시 차단하여 랜섬웨어가 추가 파일을 암호화·삭제하지 못하도록 합니다. 네트워크도 분리해 다른 장치로의 확산을 막습니다.

전원 OFF네트워크 분리

② 원본 보존

해커와 직접 대응하거나 키 복호화 시도 시 원본이 손상될 수 있습니다. 복구천사는 1:1 섹터 이미징 후 백업본으로만 복구를 시도하므로 원본 상태를 유지합니다.

1:1 이미징원본 보존

③ 초기 진단 신청

접수 후 1~2일 이내 확인 가능 범위와 예상 확인 범위를 안내해 드립니다. 진단·견적 안내까지 비용은 발생하지 않으며, 케이스별 결과는 파일 시스템과 손상 상태에 따라 달라질 수 있으므로 진단 결과를 먼저 확인하세요.

초기 진단1~2일 결과
⚠ 잘못된 시도는 확인 가능한 데이터 범위를 크게 줄일 수 있습니다

왜 랜섬웨어는
'섣부른 시도'가 위험할까요?

검증되지 않은 복호화 툴을 원본에 직접 실행하거나 반복해서 재부팅하면, 남겨진 복구 마커가 파괴되어 데이터 확인 범위가 제한될 수 있습니다. 지금 바로 전원을 끄고 랜선을 분리하세요. 이후 1:1 이미지 복제본을 만든 뒤, 전문가의 분석을 통해 파일 시스템 특성에 맞는 복구를 시도해야 합니다.

긴급 진단 신청 📞 1544-3598
❌ 절대 피해야 할 행동
  • 복구 프로그램을 원본 장치에 직접 실행
  • NAS·서버 초기화 및 볼륨 재생성 시도
  • 감염된 상태에서 새 데이터 저장(덮어쓰기)
  • 반복적인 재부팅 및 자동 복구 시도
  • 해커에게 비용 지불 후 직접 키 입력 시도
  • chkdsk·fsck 등 파일 시스템 도구 실행
🛡️ 복구 비용 사전 안내

복구에 실패하면
비용을 청구하지 않습니다.

접수 후 분석 장비로 상태 진단을 진행하며, 감염 유형·확인 가능 범위·예상 확인 범위를 먼저 안내해 드립니다.
고객님 동의 후에만 복구를 진행하며, 확인 결과를 보신 뒤 비용을 청구하며, 데이터 확인이 어려운 경우 비용이 발생하지 않습니다.

초기 진단 전화 상담 사전 견적 취소 가능 실패 시 0원
초기 진단 신청 📞 1544-3598
Infection Symptoms

랜섬웨어 감염 시 3가지 유형의 증상

증상 유형에 따라 확인 가능성이 달라집니다.
특히 유형 1·2는 초기 대응에 따라 결과 확인이 가능하므로, 추가 작업을 중단하고 원본을 보존해야 합니다.

유형 1: 논리 장애

파일을 압축한 뒤 기존 파일을 삭제하고 반복 덮어쓰기를 수행하는 유형입니다. 삭제 공간이 남아 있을 경우 확인 가능하지만, 반복 덮어쓰기로 삭제 공간이 소멸되면 복구 불가합니다.

확인 가능성 높음1:1 이미지 복제

유형 2: 파일 삭제형 (NAS 빈번)

파일을 모두 지우고 "READ ME" 텍스트만 남기는 형태로 NAS에서 주로 나타납니다. 해커에게 비용을 지불해도 확인 범위가 제한될 수 있는 케이스이며, 데이터 복구 업체를 통한 결과 확인이 현실적입니다.

NAS 빈번분석 필수

유형 3: 파일 암호화 (고위험)

파일명이 변경되고 암호화가 진행된 형태로 서버 사용자에게 많이 발생합니다. 복호화 키 없이는 기술적 복구가 매우 어려우며, 협상/대행 시 해커의 반복 요구 주의가 필요합니다.

고위험 구간키 분석 필수
— Why Recovery Angel —

복구천사가 선택받는 이유

30년간 축적해 온 데이터 복구 기술력과 영상 분석 도구으로
일반 복구 업체가 대응하지 못하는 랜섬웨어 케이스도 분석 및 복구를 진행합니다.

01
🔬

자체 개발 분석 도구

Server Forensics를 자체 개발하여 NAS 브랜드별 RAID/SHR/LVM/ZFS 구조를 구조 분석합니다. 상용 도구로 불가능한 복합 구조도 대응 가능합니다.

02
⚙️

PC-3000 분석 장비 보유

ACE Laboratory 공인 PC-3000 UDMA / SAS / Portable을 보유하여 SA·펌웨어·미디어 레벨의 물리 장애까지 분석 대응합니다.

03
🏅

데이터 복구 엔지니어

30년간 데이터 복구에만 전념해 온 엔지니어 팀이 직접 진단·분석·복구를 수행합니다. 복잡한 NAS·서버 구조 분석 경험을 기반으로 대응합니다.

04
🔒

ISO 27001 인증 보안

국제 정보보안 인증을 기반으로 NDA 체결, 폐쇄망 작업, 납품 후 보안 삭제 절차 진행까지 고객 데이터를 안전하게 보호합니다.

05

사전 비용 정책 안내

진단·견적 안내까지 비용은 발생하지 않으며, 초기 진단 후 비용 정책을 사전 안내드립니다. 비용 정책은 사전 안내되며 부담 없이 의뢰할 수 있습니다.

06
🏥

클린 시설 환경 구축

HDD 개봉이 필요한 물리 복구 시 클린 시설 환경에서 헤드 교체·플래터 작업을 수행하여 2차 오염을 방지합니다.

Ransomware Recovery Technology

원본 보존 방식를 위한 기술·원칙

랜섬웨어 복구는 "무엇을 더 하느냐"보다,
"어떻게 복제본 기반으로 분석하느냐"가 중요합니다.

원본 보존 1:1 이미징 작업 공정 - 섹터 단위 정밀 복제
1:1 IMAGING

원본 보존 중심: 1:1 이미징

암호화 해제 실패나 추가 손상을 방지하기 위해 원본을 철저히 보존합니다. 가능한 경우 1:1 이미징 후 백업(복제본)에서만 분석을 진행하여 원본 보존성을 확보합니다.

섹터 단위원본 보존안전 우선 원칙
랜섬웨어 유형 분리 및 복구 결과 예측 - 유형 1·2·3 시나리오별 가능성 가이드
TYPE ANALYSIS

유형 분리 & 결과 예측

유형 1·2는 삭제된 원본 영역이나 스냅샷에서 복구 시도가 가능한 경우가 있습니다. 반면 유형 3은 키 없이 암호 해제가 불가능하여, 협상 대행·테스트 복호화 등 별도의 대응 전략이 필요합니다.

유형 1·2유형 3맞춤 전략
Btrfs Ext4 파일 시스템 특성 활용 복구 - 스냅샷 저널링 분석
FILESYSTEM

파일 시스템 특성 활용 복구

Btrfs의 스냅샷 흔적이나 Ext4의 저널링 등 각 시스템의 고유한 논리적 특성을 파악하여 암호화되지 않은 원본 조각을 구조를 분석합니다.

Btrfs SnapshotExt4 JournalRAW 추출
Ransomware Recovery Process

랜섬웨어에 감염되면 크게 세 가지 유형의 증상이 나타납니다.

랜섬웨어 감염 시, 해커에게 비용을 지불하거나, 증상에 따라서 데이터 복구 업체에 의뢰해 분석을 진행할 수 있습니다. 해커가 비트코인 지불 기한을 제시할 경우, 빠르게 결정을 내려야 하며, 비용을 지불해도 비밀키를 받을 수 있다고 보장되지 않습니다. 따라서, 경험 많은 대행업체를 통해 해커와 접촉하는 것이 좋습니다. 대행 수수료와 부가세가 청구될 수 있으며, 복구 과정이 복잡하고 항상 성공하는 것은 아니므로, 전문 대행업체를 매우 신중하게 선택해야 합니다.

유형1랜섬웨어 감염

논리 장애 증상

유형1 논리 장애 증상 - 모든 파일을 압축하고 기존 파일을 삭제한 상태

모든 파일을 압축한 후 기존 파일을 지우고, 추가로 데이터를 반복적으로 덮어쓰는 경우 결과 확인이 어려울 수 있습니다. 파일을 압축하고 기존 파일을 지운 후라면 복구 시도가 가능하지만, 덮어쓰기를 반복하여 삭제된 공간을 모두 덮으면 확인 범위가 줄어들거나 불가능합니다.

대응 방법해커에게 비용을 지불하고 복구하는 경우

STEP
  • 대행 업체를 통하여 분석을 진행하는 방법

    장점: 대응 경험으로 복잡한 과정을 신속하게 처리합니다.
    단점: 성공 여부와 상관없이 대행 수수료와 세금 등이 청구됩니다.

  • 직접 해커와 대응 하는 방법

    주의할 점: 암호화 해제 실패나 추가 손상을 방지하기 위해 원본을 보존하는 것이 좋습니다. 1:1 이미징 후 복제본으로 복구 시도를 권장합니다.

    유형 1은 비용 지불 후 결과가 확인된 사례가 일부 보고된 유형입니다.

대응 방법복구 업체에 의뢰하여 결과 확인하는 방법

STEP
  • 암호화된 대상 장치를 복구 업체에 의뢰합니다.

    장점
    1. 복구가 가능한 경우에만 비용을 청구합니다. (당사 기준)
    2. 1:1 이미징 후 복제본으로 분석을 진행하기 때문에 원본은 보존됩니다.

  • 복구율 안내

    케이스별 결과는 파일 시스템과 손상 상태에 따라 달라질 수 있습니다.
    일반적으로 Btrfs 파일 시스템의 경우 확인 범위가 높아, 폴더와 파일명까지 확인된 사례가 많습니다. 그러나 ext 파일 시스템의 경우, 기존 파일명과 폴더명을 복구하기 어렵고, raw 형식으로 복구되는 경우가 많습니다.

복구천사 제안

1) 장애가 확인되면 즉시 NAS 전원을 차단하고, 복구천사에 상담해 주세요. NAS 접수 후 1~2일 이내에 확인 가능 여부를 안내받을 수 있으며, 진단·견적 안내까지 비용은 발생하지 않습니다.

2) 진단 결과 복구가 불가하거나 확인 범위가 낮은 경우 해커에게 비용을 지불해 분석을 진행하는 방법밖에 없으며 유형 1은 비용 지불 후 결과가 확인된 사례가 일부 보고된 유형입니다.

유형2랜섬웨어 감염

NAS 사용자에게 많이 나타나는 증상

유형2 NAS 사용자 증상 - 파일을 모두 지우고 README 텍스트만 남긴 상태

파일을 모두 지우고 READ ME 텍스트 파일만 남긴 경우, 해커에게 비용을 지불해도 복구를 받을 수 없습니다. 유일한 방법은 데이터 복구 데이터 복구 업체에 의뢰해 결과를 확인하는 것입니다.

대응 방법해커에게 비용을 지불하고 복구 시도하는 경우

STEP
  • 대행 업체를 통해 분석을 진행하는 방법

    이 사례에서는 해커에게 비용을 지불하여 결과가 확인된 사례가 보고되지 않았습니다. 랜섬웨어 대행 업체를 통해서도 성공한 사례가 보고되지 않았기 때문에 주의가 필요합니다.

대응 방법복구 업체에 의뢰하여 결과 확인하는 방법

STEP
  • 암호화된 대상 장치를 복구 업체에 의뢰합니다.

    장점
    1. 복구가 가능한 경우에만 비용을 청구합니다. (당사 기준)
    2. 1:1 이미징 후 복제본으로 분석을 진행하기 때문에 원본은 보존됩니다.

  • 복구율 안내

    케이스별 결과는 파일 시스템과 손상 상태에 따라 달라질 수 있습니다.
    일반적으로 Btrfs 파일 시스템의 경우 확인 범위가 높아, 폴더와 파일명까지 확인된 사례가 많습니다. 그러나 ext 파일 시스템의 경우, 기존 파일명과 폴더명을 복구하기 어렵고, raw 형식으로 복구되는 경우가 많습니다.

복구천사 제안

1) 장애가 확인되면 즉시 NAS 전원을 차단하고, 복구천사에 상담해 주세요. NAS 접수 후 1~2일 이내에 확인 가능 여부를 안내받을 수 있으며, 진단·견적 안내까지 비용은 발생하지 않습니다.

2) 진단 결과 복구가 불가하거나 확인 범위가 낮은 경우 해커에게 연락 후 분석을 진행해 볼 수 있지만 이 증상(유형 2)에서는 해커에게 비용을 지불하여 결과가 확인된 사례는 보고되지 않았습니다.

유형3랜섬웨어 감염

서버 사용자에게 많이 나타나는 증상

유형3 서버 사용자 증상 - 파일이 암호화되어 파일명 뒤에 문자가 추가된 상태

파일이 암호화되어 파일명 뒤에 문자가 추가된 경우, 해커에게 비용을 지불하는 방법 외에는 해제할 수 없습니다. 암호화 해제를 위해서는 패스워드가 필요하며, 해커는 많은 비트코인을 요구하는 경우가 많습니다.

대응 방법해커에게 비용을 지불하고 복구하는 경우

STEP
  • 주의할 점

    문제 해결을 위해 가능한 한 대행 업체를 통해 해커와 연락하는 것이 좋습니다.

    1) 비용을 지불해 키를 받더라도, 암호화 해제 과정에서 실패하거나 잘못된 키를 사용할 경우 추후 결과 확인이 어려울 수 있습니다. 따라서 원본을 보존하고 백업으로 시도하는 것이 권장됩니다.
    2) 여러 대의 서버가 감염된 경우, 해커와 협의할 때 매우 신중해야 합니다. 예를 들어, 여러 서버 중 하나를 먼저 테스트로 복구하도록 요청하고 금액을 지불하는 방법이 있습니다. 또한, 해커가 반복적으로 금액을 요구할 수 있으므로, 경험 많은 전문가에게 대행을 의뢰하는 것도 좋은 방법입니다.

대응 방법복구 업체에 의뢰하여 결과 확인하는 방법

STEP
  • 데이터 복구 업체에서는 키 없이 복구를 시도할 수 없습니다.

복구천사 제안

1) 데이터 복구 업체 선택에 매우 신중해야 됩니다.

2) 유형 3 증상에서는 해커에게 비용을 지불하여 결과가 확인된 사례가 10건 중 8~9건 정도로 보고되지만, 해커가 매우 높은 금액을 요구하고 반복적으로 여러 번 금액을 요구하는 경우도 많습니다.

Ransomware Recovery Process

랜섬웨어 복구 과정

원본 손상을 최소화하는 절차로 진행하며, 환경 및 감염 유형에 따라 세부 단계는 달라질 수 있습니다.

1

접수 & 초기 진단

감염 유형, 장비 구성(NAS·서버), 파일 시스템 등을 확인하고 "가능/불가/리스크"를 우선 분리합니다.
감염 유형 확인 리스크 분류
2

원본 보존(쓰기 차단)

원본 매체에 추가 쓰기를 막고, 모든 데이터 복구 작업은 원칙적으로 복제본 환경에서 수행합니다.
추가 쓰기 차단 복제본 작업
3

1:1 이미징

가능한 경우 이미징 장비를 사용하여 원본 디스크의 1:1 섹터 이미지를 확보합니다.
이미징 장비 사용 이미지 확보
4

복구 시도 & 검증

유형별 전략에 따라 폴더/파일/RAW 복구 등을 시도하고, 결과 범위와 최종 확인 범위를 안내합니다.
유형별 맞춤 전략 결과 검증
Estimated Time

복구 소요 시간 안내

장비 구성·데이터 용량·덮어쓰기 여부·파일 시스템에 따라 달라지며, 진단 후 가장 현실적인 일정을 안내합니다.

1~2

초기 진단 소요 시간

  • 접수 후 확인 가능 여부 우선 안내
  • 일정은 케이스별로 상이할 수 있습니다.
⚡ INITIAL DIAGNOSIS
핵심 주의사항

원본 상태 유지가 중요합니다

  • 랜섬웨어는 "시간 경과" 자체가 위험한 것이 아닙니다.
  • 추가 쓰기/초기화/잘못된 복호화 시도가 확인 범위를 떨어뜨립니다.
⚠️ IMPORTANT WARNING
접수

Step 1. 진단

증상 및 시스템 구성을 확인하고 전체 작업 범위를 설정합니다.

복제

Step 2. 이미징

전체 데이터 용량 및 디스크 물리 상태에 따라 소요 시간이 변동됩니다.

분석

Step 3. 분석

랜섬웨어 감염 유형을 분리하고 적절한 분석 방향을 결정합니다.

검증

Step 4. 복구

안전한 복제본 환경에서 분석을 진행하고 최종 결과물을 검증합니다.

※ 랜섬웨어 감염 시 가능한 한 빠르게 기기 상태를 고정하고 초기 진단을 진행하는 것이 확인 가능성을 높이는 권장 절차입니다. 케이스별 분석 결과에 따라 확인 가능 범위가 달라지며, 사전에 안내드립니다.
Pricing Guide

랜섬웨어 복구 비용 안내

랜섬웨어 복구 시도는 감염 유형, 삭제 영역 상태, 덮어쓰기 여부, 파일 시스템 구조에 따라 난이도가 크게 달라집니다.
정확한 상태 진단 후 가능 범위와 산정된 비용 기준을 투명하게 안내해 드립니다.

복구 정책 및 원칙
  • 당사 기준에 따라 복구 시도가 가능한 경우에만 비용을 청구합니다. (케이스별 상이)
  • 원본 보존을 철저히 하기 위해 1:1 이미지 복제본에서 원본 보존 방식으로 분석을 진행합니다.
선결제 없는 투명한 안내
  • 복구천사는 "복구 완료 전 선결제"를 요구하지 않습니다.
  • 최종 비용 및 일정은 진단 결과와 확인 가능 범위를 바탕으로 확정 후 안내해 드립니다.
TYPE 1·2

일반 감염 유형

결과 확인 및 복원 가능성 존재
진단 후 안내
  • 삭제 영역·스냅샷에서 확인 가능 유형
  • 원본 데이터 영역 보존 상태 진단
  • 진단 결과를 통해 진행 가능 여부 판단
TYPE 3

고위험 감염 유형

키 부재 시 복구 난이도 높음
진단 후 안내
  • 복호화 키 없이 암호 해제 불가
  • 암호화 범위가 큰 감염 상태
  • 별도의 심층 분석 및 견적 필요
FACTOR 1

비용 변동 요소 (환경)

NAS / 서버 아키텍처 및 용량
견적 산정 기준
  • NAS·서버 구성: RAID 및 가상화 구성 난이도
  • 데이터 용량: 1:1 이미징 및 분석 소요 시간 변수
FACTOR 2

비용 변동 요소 (손상)

파일 시스템 및 덮어쓰기 여부
견적 산정 기준
  • 덮어쓰기 여부: 최종 확인 범위에 가장 큰 영향을 미침
  • 파일 시스템: Btrfs / Ext 계열 등 구조에 따라 결과 형태가 달라짐
  • 랜섬웨어 감염 시 섣부른 초기화나 재설치 시도는 데이터 확인 어려움으로 이어질 수 있습니다. 즉시 전원을 차단하고 전문가의 진단을 받는 것을 권장합니다.
  • 최종 비용 및 일정은 진단 결과와 확인된 확인 가능 범위를 바탕으로 투명하게 안내해 드립니다.
NAS Recovery Cases

랜섬 웨어 (유형 1, 2) 복구 사례

NAS 랜섬웨어 감염 케이스 중 확인 결과 기준 대표 사례입니다.
모델 / 파일 시스템 / 디스크 수 / 확인 결과를 투명하게 안내합니다.

NAS
Synology DS220J Ext4 랜섬웨어 감염 폴더 구조 복구 사례 - 디스크 2EA / 복구기간 3일
Ext4
DS220J
확인 사례 다수

삭제, 초기화 증상 (유형 2)

디스크 수
2EA
복구 기간
3일
파일 시스템
Ext4
확인 결과
폴더 구조 복구
NAS
Synology DS1821+ Btrfs 랜섬웨어 감염 폴더 구조 복구 사례 - 디스크 8EA / 복구기간 3일
Btrfs
DS1821+
확인 사례 다수

삭제, 초기화 증상 (유형 2)

디스크 수
8EA
복구 기간
3일
파일 시스템
Btrfs
확인 결과
폴더 구조 복구
NAS
Synology DS3018xs Btrfs 랜섬웨어 감염 폴더 구조 복구 사례 - 디스크 2EA + SSD / 복구기간 2일
Btrfs
DS3018xs
확인 사례 다수

삭제, 초기화 증상 (유형 2)

디스크 수
2EA + SSD
복구 기간
2일
파일 시스템
Btrfs
확인 결과
폴더 구조 복구
NAS
Synology DS1621+ Btrfs 랜섬웨어 감염 폴더 구조 99% 이상 복구 사례 - 디스크 6EA / 복구기간 3일
Btrfs
DS1621+
확인 사례 다수

압축 파일만 남긴 상태 (유형 1)

디스크 수
6EA
복구 기간
3일
파일 시스템
Btrfs
확인 결과
폴더 구조 복구
NAS
Synology DS920+ Btrfs 랜섬웨어 감염 폴더 구조 복구 사례 - 디스크 4EA / 복구기간 3일
Btrfs
DS920+
확인 사례 다수

삭제, 초기화 증상 (유형 2)

디스크 수
4EA
복구 기간
3일
파일 시스템
Btrfs
확인 결과
폴더 구조 복구
NAS
Synology DS918+ Btrfs 랜섬웨어 감염 폴더 구조 복구 사례 - 디스크 2EA / 복구기간 2일
Btrfs
DS918+
확인 사례 다수

삭제, 초기화 증상 (유형 2)

디스크 수
2EA
복구 기간
2일
파일 시스템
Btrfs
확인 결과
폴더 구조 복구
How to Submit

의뢰 방법

전화·온라인·택배 세 가지 방법으로 접수할 수 있습니다.
대용량 및 중요 데이터가 필요하신 경우 전화 상담 시 우선 접수를 요청해 주세요.

전화 상담

담당 엔지니어가 상태를 확인하고 작업 방향을 안내합니다.

온라인 접수

홈페이지에서 접수하시면 담당 엔지니어가 빠르게 연락드립니다.

택배 접수

전국 어디서든 택배로 보내주시면 수령 후 초기 진단을 진행합니다.

착불 택배 접수 가능

⚡ 엔터프라이즈 서버·NAS 긴급 대응이 필요하신 경우, 전화 상담 시 우선 대응(Priority Response)을 요청해 주세요. 전담 엔지니어가 영업일 기준 우선 일정을 안내합니다.

복구천사 랜섬웨어 데이터 복구

NAS·서버 랜섬웨어 — 비밀키 없는 정상 복구 가이드

eCh0raix·DeadBolt·Qlocker·LockBit·Conti 등 NAS·서버를 표적으로 한 랜섬웨어를 몸값 지불 없이 Btrfs·ext4 미할당 영역·스냅샷 잔재 분석으로 분석을 진행합니다. Synology·QNAP 다수 사례 보유.

증상별 분기 가이드
  • 즉시 전원 차단 (감염 직후 · Synology · QNAP Btrfs/ext4 NAS · 다중 베이 RAID): 미할당 영역과 스냅샷 잔재에 원본 흔적이 다수 남아 있어 비밀키 없이 분석을 진행해볼 수 있습니다. 전원 차단 → 네트워크 분리 → 복구천사 진단의 순서로 진행하세요.
  • NAS 표적 랜섬웨어 자가 시도: NAS 표적 랜섬웨어(eCh0raix·DeadBolt·Qlocker)는 복구천사 PRO의 Btrfs/ext4 미할당 영역 구조 분석으로 시도해볼 수 있습니다. 자세한 절차는 PRO 정밀 스캔 가이드정밀 스캔 매뉴얼을 참조하세요.
  • 절대 금지 행동 (몸값 지불 · NAS 재부팅 · 볼륨 초기화 · 펌웨어 재설치 · 복호화 도구 무단 실행): 메모리·미할당 영역의 원본 흔적이 확인 범위 제한되어 확인 자체가 어려움해집니다.

복구천사는 30년 경력 전문 엔지니어Class 100 이하 클린 시설 및 PC-3000·HDD Surgery·Falcon 등 분석 장비로 직접 작업, ISO 27001 정보보안 인증으로 보안 보장. 초기 진단 후 사전 견적 안내.

복구천사 랜섬웨어 감염 NAS의 암호화된 파일 미할당 영역 분석 복구

비밀키 없이 Btrfs·ext4 미할당 영역 분석으로 NAS 랜섬웨어 복구

Synology·QNAP NAS의 스냅샷·저널·미할당 영역에 남은 원본 흔적을 구조 분석해 분석을 진행합니다. 30년 경력 · ISO 27001 인증.

초기 진단 신청
🛠️

복구 방법 3단계

즉시 NAS·서버 전원 차단 → 1:1 이미지 클로닝 → Btrfs/ext4 미할당 영역 분석 복구.

⚠️

랜섬웨어 유형 5가지

암호화 잠금·README만 남음(Btrfs/EXT)·zip·7z 압축형(Btrfs/EXT) 유형별 확인 가능성.

🔔

의뢰 기준

감염 직후 즉시 전원 차단 후 복구천사에 의뢰해야 하는 8가지 핵심 상황.

📋

표준 6단계 절차

전원 차단 → 1:1 이미징 → 파일 시스템 정밀 스캔 → 원본 재구성 → 무결성 검증.

⚖️

해야 할 것 vs 하지 말 것

확인 범위를 좌우하는 첫 1시간의 선택. DO 6개 / DON'T 6개 (몸값 지불·NAS 재부팅·초기화 금지).

자주 묻는 질문

감염 직후 조치·몸값·NAS 표적·Btrfs·비밀키 없는 원리·비용 등 6가지.

1

즉시 NAS·서버 전원 차단 — 가장 중요

감염을 확인한 즉시 NAS·서버의 전원을 강제 차단하고 네트워크 케이블을 분리하세요. 전원이 켜져 있는 동안 랜섬웨어는 계속 추가 파일을 암호화·삭제하며, 메모리에 남은 추적 정보도 사라집니다.

핵심: NAS 재부팅·로그인 시도 금지. 전원 차단 후 즉시 진단 의뢰.
2

1:1 이미지 클로닝

모든 디스크를 비파괴 방식으로 섹터 단위 복제본으로 추출합니다. 이후 모든 분석은 복제본에서만 수행되어 원본의 미할당 영역·스냅샷 잔재가 추가 손상되지 않습니다.

사용 장비

PC-3000 · Falcon 등 이미징 장비로 불량 섹터까지 강제 복제.

3

Btrfs/ext4 미할당 영역 분석 복구

복구천사는 Btrfs·ext4·NTFS의 미할당 영역·저널·스냅샷 잔재를 구조 분석해 원본 파일을 재구성합니다. 비밀키 없이도 데이터 분석을 진행해볼 수 있습니다.

왜 복구천사인가

30년 경력 · ISO 27001 · 실패 시 0원 · 원본 무결성 보장.

비밀키 없이 복구

몸값 지불 없는 정상 복구

대부분의 랜섬웨어는 원본 파일을 읽고 새 암호화 파일을 쓴 뒤 원본을 "삭제"하지만, 실제로는 파일 시스템 메타데이터만 제거됩니다. 복구천사는 이 잔재 데이터를 정밀 추적해 비밀키 없이 원본을 복원합니다.

Synology/QNAP 표적 전문

NAS 표적 랜섬웨어 전문

eCh0raix·DeadBolt·Qlocker·Checkmate 등 NAS 표적 랜섬웨어 복구 사례 다수. Synology Btrfs Copy-on-Write 구조와 QNAP ext4 inode 잔재 분석에 특화된 기술력을 보유합니다.

30년 경력 엔지니어

데이터 복구 30년 전문가

데이터 복구에만 전념해 온 엔지니어 팀이 직접 진단·분석·복구를 수행합니다. 누적 사례 수십만 건의 실전 경험으로 스냅샷 파괴형·다중 베이 RAID 등 난이도 높은 케이스도 대응합니다.

랜섬웨어 감염 유형별 확인 가능 범위

주요 랜섬웨어 5가지에 대한 확인 가능 범위·평균 복구율·난이도를 정리했습니다.

장애 유형 대표 증상 자가 복구 전문 의뢰 난이도
🔒파일은 보이는데 모두 암호화로 잠긴 상태 파일은 그대로 존재하지만 모두 암호화되어 접근 불가 불가 불가 확인 가능성 높음
📛파일 삭제 + README만 남음 (Btrfs) Synology NAS Btrfs 환경, 원본 파일은 삭제되고 README만 잔존 시도 권장 중간 · 디렉터리·파일명 복구 가능
📛파일 삭제 + README만 남음 (EXT) QNAP/Linux NAS ext4 환경, 원본 파일은 삭제되고 README만 잔존 시도 권장 높음 · raw 복구만 가능 · 30~80%
🗜️파일 압축형 zip·7z 잔존 (Btrfs) Synology NAS Btrfs, 파일이 zip·7z로 압축되어 비밀번호 잠금 시도 권장 중간 · 디렉터리·파일명 복구 가능
🗜️파일 압축형 zip·7z 잔존 (EXT) QNAP/Linux NAS ext4, 파일이 zip·7z로 압축되어 비밀번호 잠금 시도 권장 높음 · raw 복구만 가능 · 30~80%

⚠ 자가 복구 시도 전 꼭 확인해주세요

  • 물리 장애가 없어야 합니다 — 딸깍 소음·인식 불가·낙하·침수 등 물리 손상이 의심되면 자가 시도를 하지 마시고 추가 손상 방지를 위해 복구천사에 진단을 의뢰하세요.
  • 원본이 변형되지 않게 주의 — 추가 데이터 저장·포맷·CHKDSK 등은 시도하지 마세요. 모든 복구천사 소프트웨어는 읽기 전용이라 원본을 변형하지 않습니다.

시도 증상이 어려울 수 있지만 시도해볼 수 있는 증상 · 가능 일반적으로 어려움 없이 가능한 증상 · 자가 복구복구천사 소프트웨어로 시도해볼 수 있는 증상인지를 의미합니다.

‼ 자가 복구 시도 전 신중히 판단해주세요

데이터가 중요한 경우 — 복구업체 의뢰를 권장합니다. 자가 시도 중 단 한 번의 실수가 데이터 확인 범위 제한로 이어질 수 있습니다.

비용 절감을 위해 자가 진단을 시도하는 경우 — 시도해볼 수는 있지만, 상황에 따라 사용자 실수로 증상이 악화되어 재의뢰해도 복구가 불가능한 사례가 발생합니다. 데이터의 중요도를 신중히 판단한 후 결정하시기 바랍니다.

가능한 빨리 복구천사에 의뢰해야 하는 8가지 핵심 상황

아래 상황 중 하나라도 해당되면 추가 작업을 즉시 중단하고 초기 진단을 의뢰하세요.

상황 위험 사유 긴급도
NAS 감염 직후전원이 켜진 상태로 두면 추가 암호화 확산.즉시
📁공유 폴더 암호화다중 사용자 공유 폴더 전체가 .locked·.encrypted로 변경.확인 가능성 높음
💀스냅샷 함께 삭제Snapshot Replication 백업까지 함께 파괴된 상태.확인 가능성 높음
📦백업 함께 감염NAS 백업 폴더·외장 백업까지 동시 암호화.확인 가능성 높음
📄협박문 README 발견!README·DECRYPT_INSTRUCTIONS 파일이 폴더마다 존재.높음
📛확장자 변경.encrypted·.locked·.crypto·.[ID].xxxx로 확장자 변경.높음
🔁NAS 재부팅 시도 후재부팅으로 메모리 추적 정보 소실 + 추가 암호화 발생.확인 가능성 높음
🛑복호화 도구 무단 실행 후출처 불명 복호화 프로그램 실행으로 추가 손상 발생.확인 가능성 높음
랜섬웨어 STEP 1 즉시 전원 차단 - NAS·서버 강제 차단으로 추가 암호화 확산 방지
1

즉시 전원 차단

감염 확인 즉시 NAS·서버의 전원을 강제 차단하고 네트워크 케이블을 분리해 추가 암호화 확산을 차단합니다.

랜섬웨어 STEP 2 1:1 이미지 클로닝 - 모든 디스크 섹터 단위 복제본으로 원본 미할당 영역 보호
2

1:1 이미지 클로닝

모든 디스크의 섹터 단위 복제본을 확보합니다. 이후 분석은 복제본에서만 수행되어 원본의 미할당 영역이 보호됩니다.

랜섬웨어 STEP 3 파일 시스템 정밀 스캔 - Btrfs/ext4/NTFS 미할당 영역·저널·스냅샷 잔재 분석
3

파일 시스템 정밀 스캔

Btrfs·ext4·NTFS 미할당 영역·저널·스냅샷 잔재를 구조 분석해 원본 파일의 흔적을 추적합니다.

랜섬웨어 STEP 4 원본 파일로 재구성 - 메타데이터·inode 흔적으로 폴더·파일명까지 보존되는 원본 복원
4

원본 파일로 재구성

메타데이터·inode 흔적으로 원본 파일을 재구성하고 폴더·파일명까지 보존되도록 복원을 시도합니다.

랜섬웨어 STEP 5 무결성 검증·전달 - 파일 헤더·체크섬 무결성 검증 후 별도 매체 안전 전달
5

무결성 검증·전달

파일 헤더·체크섬으로 무결성을 검증한 후 별도 매체로 전달합니다. ISO 27001 보안 절차 준수.

STEP 6 랜섬웨어 복구 데이터·암호화 디스크 영구 삭제 - 보관 기간 종료 후 감염 디스크 클로닝본 논리적 영구 삭제로 재감염 위험 차단
6

데이터·이미징 디스크 영구 삭제

보관 기간 종료 후 복구된 데이터와 작업용 이미징 디스크를 모두 논리적으로 영구 삭제하여 정보 유출 위험을 차단합니다. ISO 27001 보안 절차 준수.

반드시 해야 할 것

랜섬웨어 감염 직후 결과 확인률을 결정적으로 높이는 6가지 행동.

  • 즉시 전원 차단 — NAS·서버의 전원을 강제 차단해 추가 암호화를 막습니다.
  • 네트워크 케이블 분리 — 사내망·인터넷에서 즉시 격리합니다.
  • 감염 디스크 제거 보관 — 디스크를 NAS에서 빼서 별도 정전기 봉투에 보관합니다.
  • 협박문(README) 보존 — 협박문·암호화 파일 샘플을 그대로 보존해 진단에 활용합니다.
  • 스냅샷·백업 확인 — Snapshot Replication·외장 백업의 무결성을 확인합니다.
  • 복구천사 초기 진단 — 영업일 기준 신속히 전문가 초기 진단을 의뢰합니다.
💡 첫 1시간의 선택이 데이터의 운명을 좌우합니다.

절대 하지 말아야 할 것

데이터를 영구히 잃게 만드는 6가지 행동. 한 번의 잘못된 시도가 확인 범위를 사라지게 합니다.

  • 몸값 지불 금지 — 비밀키 미수령·복호화 실패·재감염 표적이 됩니다.
  • NAS 재부팅·로그인 금지 — 메모리 추적 정보 소실 + 추가 암호화 확산.
  • 볼륨 초기화 금지 — Btrfs·ext4 미할당 영역의 원본 흔적이 완전 소실됩니다.
  • 펌웨어 재설치 금지 — 시스템 파티션 재구성으로 잔재 데이터가 사라집니다.
  • 복호화 도구 무단 실행 — 출처 불명 도구는 추가 손상·재감염 위험.
  • 같은 디스크에 복구 저장 — 미할당 영역의 원본 흔적이 덮어써집니다.
⚠ 위 행동 중 단 하나라도 했다면 즉시 작업을 중단하고 의뢰하세요.

NAS 랜섬웨어 감염 직후 가장 먼저 해야 할 일은?

즉시 NAS·서버의 전원을 차단하고 네트워크 케이블을 분리하세요. 랜섬웨어는 전원이 켜져 있는 동안 계속 추가 파일을 암호화·삭제하므로, 빠른 전원 차단이 확인 범위를 좌우합니다. 재부팅·로그인은 메모리 추적 정보를 사라지게 만들고 암호화를 확산시키므로 금지입니다.

💸

몸값을 지불하면 데이터가 복구되나요?

몸값 지불은 권장되지 않습니다. 비밀키를 받지 못하는 경우가 많고, 받더라도 복호화 실패·추가 협박·재감염의 표적이 됩니다. Synology·QNAP NAS의 Btrfs·ext4 환경에서는 미할당 영역과 스냅샷 잔재에 원본 흔적이 남는 경우가 많아 비밀키 없이도 확인되는 사례가 다수 있습니다.

🦠

eCh0raix·DeadBolt·Qlocker 등 NAS 표적 랜섬웨어 복구 가능한가요?

QNAP 표적 랜섬웨어(eCh0raix·DeadBolt·Qlocker)는 미할당 영역 분석으로 다수 사례가 보고됩니다. Synology 표적 랜섬웨어도 Btrfs 스냅샷 잔재 분석으로 다수 사례가 있습니다. 단, NAS를 재부팅하거나 볼륨을 초기화한 경우 원본 흔적이 사라져 확인 범위가 제한될 수 있습니다.

🗄

Synology Btrfs·QNAP ext4 NAS는 확인 범위가 어떻게 되나요?

Synology Btrfs는 Copy-on-Write 구조라 변경 전 데이터가 미할당 영역에 그대로 남아 다수 사례가 보고되며 폴더·파일명까지 보존되는 경우가 있습니다. QNAP ext4는 inode 잔재 분석으로 복구되지만, 파일명이 일부 사라져 RAW 형태로 추출되는 경우가 있습니다.

🔓

비밀키 없이 어떻게 데이터를 복구하나요?

대부분의 랜섬웨어는 원본 파일을 읽고 암호화된 새 파일을 디스크에 쓴 뒤 원본을 삭제합니다. 파일 시스템에서 "삭제"는 메타데이터 제거에 불과하고 실제 데이터 블록은 미할당 영역에 남는 경우가 많습니다. 복구천사는 Btrfs·ext4·NTFS의 미할당 영역·저널·스냅샷 잔재를 구조 분석해 원본 파일을 재구성합니다. 자세한 절차는 PRO 정밀 스캔 가이드를 참조하세요.

💸

랜섬웨어 복구 비용과 기간은 어떻게 결정되나요?

감염된 디스크 용량·파일 시스템 종류·암호화 범위·요청 데이터 우선순위에 따라 결정됩니다. 일반 NAS 1bay는 3~7일, 다중 베이 RAID는 7~14일이 소요됩니다. 초기 진단·견적 안내까지 비용 발생 없음이며 착수 전 확인 가능 범위·비용·일정을 사전 안내, 비용 정책을 사전 안내드립니다.

  • ※ 본 가이드는 일반 정보 제공 목적이며, 실제 확인 가능 범위는 감염 후 조치에 따라 다릅니다.
  • ※ 정확한 확인 가능성은 초기 진단을 통해 안내드립니다.
  • ※ 복구 실패 시 비용은 청구하지 않습니다 (상태 진단 후 사전 견적 안내).
  • ※ ISO 27001 정보보안 인증 환경에서 보관·작업됩니다.
초기 진단 신청 📞 1544-3598
OFFICIAL CHANNELS · 공식 채널

실제 복구 공정과 사례를 공식 채널에서 확인하실 수 있습니다

복구천사는 30년 누적 기술 노하우와 실제 복구 사례를 유튜브 영상·네이버 블로그 기술 리포트·인스타그램 현장 사진으로 투명하게 공개합니다. 모든 작업은 ISO 27001 정보보안 인증 시설에서 진행되며, 초기 진단 후 사전 견적을 안내드립니다.

담당 엔지니어가 직접 진단하는 데이터 복구

담당 엔지니어 상담이 필요하시다면 언제든 문의해 주세요. 진단 결과 확인 후 진행 여부를 결정할 수 있습니다. 📞 담당 엔지니어 상담 1544-3598

랜섬웨어 복구 FAQ

랜섬웨어는 "유형"과 "초기 조치"에 따라 가능한 선택지가 달라집니다.
원본 데이터 훼손 전 상담을 권장합니다.

Q. NAS 랜섬웨어 감염 직후 가장 먼저 해야 할 일은?
즉시 NAS·서버 전원을 차단하고 네트워크 케이블을 분리하세요. 재부팅·로그인 시도는 금지입니다. 랜섬웨어는 전원이 켜져 있는 동안 계속 추가 파일을 암호화·삭제하므로 빠른 전원 차단이 확인 범위를 좌우합니다. 재부팅하면 메모리에 남아 있던 추적 정보가 사라지고 부팅 과정에서 암호화가 확산됩니다. 전원 차단 후 1544-3598로 진단을 의뢰하세요.
Q. 몸값을 지불하면 데이터가 복구되나요?
몸값 지불은 권장되지 않습니다. 비밀키를 받지 못하는 경우가 많고 재감염·추가 협박의 표적이 됩니다. 키를 받더라도 복호화 도구의 버그·잘못된 키 매핑·해제 실패가 자주 보고됩니다. Synology·QNAP NAS의 Btrfs·ext4 환경에서는 미할당 영역과 스냅샷 잔재에 원본 흔적이 남는 경우가 많아 비밀키 없이도 분석을 진행할 수 있습니다. 지불 전 초기 진단 후 확인 가능 범위 안내천사 진단부터 받으세요.
Q. eCh0raix·DeadBolt·Qlocker 등 NAS 표적 랜섬웨어 복구 가능한가요?
복구 시도가 가능한 케이스가 다수 보고됩니다. QNAP·Synology 표적 랜섬웨어 모두 다수 사례가 있습니다. eCh0raix·DeadBolt·Qlocker·Checkmate 등 NAS 전용 랜섬웨어는 ext4·Btrfs의 inode·스냅샷 잔재를 분석하는 방식으로 분석을 진행해볼 수 있습니다. 단, 감염 후 NAS를 재부팅하거나 볼륨을 초기화·펌웨어 재설치한 경우 원본 흔적이 사라져 확인 범위가 제한될 수 있습니다.
Q. Synology Btrfs·QNAP ext4 NAS는 확인 범위가 어떻게 되나요?
Synology Btrfs·QNAP ext4 모두 다수 사례가 보고됩니다. Synology Btrfs는 Copy-on-Write 구조라 변경 전 데이터가 미할당 영역에 그대로 남아 폴더·파일명까지 보존되는 경우가 많습니다. QNAP ext4는 inode 잔재 분석으로 복구하지만, 파일명이 일부 사라져 RAW 형태로 추출되는 경우가 있습니다. 둘 다 즉시 전원 차단·1:1 섹터 이미징이 전제 조건입니다.
Q. 비밀키 없이 어떻게 데이터를 복구하나요?
파일 시스템의 "삭제"는 메타데이터 제거에 불과하고 실제 데이터 블록은 미할당 영역에 남는 경우가 많기 때문입니다. 대부분의 랜섬웨어는 ① 원본 파일을 읽고 → ② 암호화된 새 파일을 디스크에 쓰고 → ③ 원본을 삭제하는 방식으로 동작합니다. 복구천사는 Btrfs·ext4·NTFS의 미할당 영역·저널·스냅샷 잔재를 구조 분석해 원본 파일을 재구성합니다. 단, 감염 후 추가 쓰기가 발생하면 원본 블록이 덮어써져 복구가 어려워집니다.
Q. 랜섬웨어 복구 비용은 어떻게 산정되나요?
비용은 감염 디스크 용량·파일 시스템 종류·암호화 범위·우선순위에 따라 달라지며, 초기 진단 후 사전 견적을 안내드립니다. 초기 진단·견적 안내까지 비용은 발생하지 않으며, 작업 착수 전 확인 가능 범위·비용·일정을 사전 안내합니다. 비용 정책은 초기 진단 후 사전에 안내됩니다. 우선 의뢰는 1544-3598로 상담 후 영업일 기준 우선 진단 결과를 안내합니다.
FAQ 82선 전체 보기
Access

오시는 길

직접 방문 접수도 가능합니다.
사전 전화 상담 후 방문해 주세요.

주소(04782) 서울 성동구 연무장5가길 7 현대테라스타워 W동 1401호
영업시간평일 09:00 ~ 18:00 (주말·공휴일 휴무)
전화1544-3598
지하철2호선 성수역 4번 출구 도보 약 3분
차량 방문카카오내비 / 티맵에서 "복구천사" 검색
주차방문 고객 주차 지원 (접수 시 안내)
Related Recovery Services

복구천사는 다양한 저장매체 장애 분석을 지원합니다.
다른 데이터 복구 서비스도 확인해 보세요.

랜섬웨어 감염 데이터 복구,
어떻게 진행되나요?

복구천사에 NAS·서버를 접수하시면 전문 엔지니어가 감염 유형을 진단하고,
확인 가능 범위와 예상 확인 범위를 먼저 안내해 드립니다. 결과 확인 시에만 비용이 청구됩니다. 전화 상담 1544-3598