기 타 CryptXXX 랜섬웨어 감염된 파일을 복호화
2016.05.02 12:36
2015.5.16 업데이트
https://hummingbird.tistory.com/6363 <--- 참고하세요
=============================================================================================
4월 30일
하드디스크가 요란하게 끼릭기릭거리길래 자동으로 단편화 모음을 하는구나 생각했는데
몇시간뒤 실행파일 하나를 클릭했더니 실행이 안되는겁니다.
살펴보니 확장자가 모조리 .crypt로 변경돼있었습니다. 랜섬웨어가 확장자 바꾸느라고 하드가 끼릭거렸던겁니다.
일단 C드라이버를 ghost 복원시키고나서
.crypt 가 뭐지하고 인터넷 검색을 해봤더니 랜섬웨어랍니다.
천만다행으로 그날 뉴스에
"2016년 04월 29일
Kaspersky Lab, CryptXXX 랜섬웨어에 감염된 파일을 복호화 해주는 새 무료 툴 공개 " 라고 검색이 됩니다.
블로그나 카페검색에는 업자들이 돈주면 복원해준다는 광고만 잔뜩 . 네이버 지식인도 포멧하라는 말뿐.
제가 걸린 랜섬웨어는
"All of your files were protected by a strong encryption with RZA4096" 라고 하네요
파일확장자중에서 문서, 텍스트,html, 압축파일를 9000여개를 .crypt 로 바꿔놨습니다
.pdf .txt .html .htm .xls .csv .hwp .zip .rar .tar .7z .xml .js .vdi .db .swf .cmd .tlb .jar .apk .css .dtd
한국Kaspersky Lab 홈페이지에서 새뉴스부분에서 링크돼있는 복호화툴을 다운받아 복원했습니다.
방법은
다운받은 복호화툴 rannohdecryptor.exe을 실행하면
Start scan 을 누르면 encrypted file 변조된 파일을 선택하라고 나오고
다음에는 변조되기던 원본파일을 선택하라고 합니다.
그후에는 자동으로 scan후 변조된파일을 자동 복원하더군요.
그런데 한꺼번에 복원이 되기는 하지만 정상적으로 되지 않습니다.
일부는 정상적복원 일부는 확장자만 돌려놓은것으로 됩니다.
그래서
A: 편조된 파일과 대조할 원본파일
B: 편조된 파일과 대조할 원본파일
C: 편조된 파일과 대조할 원본파일
식으로 여러파일이 필요합니다.
A파일로 복원후 복원된파일을 일일이 열어봐서 확인후 정상복원된것은 .crypt 로 변조된 파일 삭제후
B파일로 복원후 복원된파일을 일일이 열어봐서 확인후 정상복원된것은 .crypt 로 변조된 파일 삭제후
C파일로 복원후 복원된파일을 일일이 열어봐서 확인후 정상복원된것은 .crypt 로 변조된 파일 삭제하는 식으로
노가다를 해야합니다.
A파일로 했을때 어떤 폴더안의 파일은 복원되는데 어떤 폴더것은 안되고
B파일로 했을때 어떤 폴더안의 파일은 복원되는데 어떤 폴더것은 안됐습니다.
저의 경우는 다행히 바이두에 백업해놓은 원본이 많아서 복원이 다 됐습니다
그러나 복원후 확인 삭제 다시 복원 확인 삭제....9000여개의 파일 복원에
엄청난 노가다 시간이 필요했습니다. .
복호화 작업을 할때 각각의 하드드라이버를 분리하고 하나씩 작업하는게 효율적입니다.
저 툴이 폴더별 드라이버별로 선택기능이 없어서 전체 한꺼번에 진행을 하더군요.
hwp파일도 감염되는거 보면 혹시 한국해커가 만든거 아닐까 의심도 됩니다.???
랜섬웨어 걸려서 중요한 문서파일들이 변조돼서 걱정이 많았는데 다행히 Kaspersky Lab 에서 무료로 복원화툴을 공개해줘서
감사하게 생각합니다. ^^
제가 감염된 경로를 유추해보면
저는 xp sp3 explorer 8 을 사용하는데
Nero Burning ROM 2016 Portable을 다운받는다고 토렌트 사이트에 갔다가 걸린것 같습니다.
아마도 저놈중에 한놈갔습니다. 이제 무서워서 다시 못갈거 같습니다. ㅎㅎㅎ
제가 걸린 랜섬웨어는 모든 드라이버 폴더안의 해당 확장자를 .crypt로 바꾸고 그 폴더안에
두파일을 만들어 복원하려면 결제를 하라고 유도합니다.
3일안에 결재하면 50만원에
3일이 지나면 100만원으로 올라가네요
복호화 툴은 아래에 있습니다.
https://news.kaspersky.co.kr/news2016/04n/160429.htm
댓글 [11]
-
북학인 2016.05.02 12:45
-
박현민 2016.05.03 01:18
"hwp파일도 감염되는거 보면 혹시 한국해커가 만든거 아닐까 의심도 됩니다.???" 이 부분은 전혀 이해가 안 되네요. 그냥 인터넷 상에서 유명한 확장자들을 다 감염시킨거겠죠.
-
건조한치는말랑말랑해 2016.05.03 11:38
다행이 mp4.avi.tp 는 안건드리는군요ㅎ .
-
신화창조 2016.05.03 14:06
500 USD 이니
bitcoin 으로 바꾸면
대략 630,000~650,000원 정도 된다고 보셔야 합니다.
....
비트코인은 마치 주식처럼 가격이 유동적이며.
1비트코인 가치는 작년 3월 20만원대에서 9월 25만원, 10월 60만원대로 상승..
오늘 시세가 515,000원... 정도
시세 보실려면...
-
K케이 2016.05.11 10:57
엊그제 걸렸는데...
파일크기도 바꿔버리는지 전부 안되네요... ㅠㅠ
크기가 틀리다고 동일한 파일인데도 안되네요..
===========
원본파일이랑 260 byte 차이나면 변종이랍니다...
현재까진 복구 불가능이라네요.. ㅠㅠ
-
항상같음 2016.05.11 16:09
또 다른 변형이 나왔나봅니다.
혹시 모르니 .crypt로 바꿔져있는 파일 1메가 이상짜리로 하나만 제 메일로 보내주실련지요.
제 컴퓨터에서 풀어보게요.
==============================================
05.12 13시 추가
ㅜㅜ
보내주신 샘플을 제 컴퓨터에서 풀어봤는데 모두 실패했습니다.
다양한 파일크기 대조샘플로 해봤는데 복구가 안됐습니다.
제가 걸린 .crypt과 또 다른 변종인가봅니다.
제 경우는 모두 복구가 되길래 시도해봤는데 실패했습니다.
Kaspersky에서 새로운 맞는 복구툴을 공개해주실 기다리는 수밖에......ㅜㅜ
-
K케이 2016.05.12 09:28
메일 보냈습니다... 복구를 해야 하는데.. 흑흑..OTL 입니다...
-
항상같음 2016.05.12 13:12
저의 경우 복구되었던 파일 샘플을
구글 드라이버에 올려놨습니다.
테스트해보실 분들은 해보시길...
https://drive.google.com/folderview?id=0BzFjCLKxBOH-U2xJVl8xV0RZcXc&usp=sharing
-
동자승 2016.05.13 16:39 복원되는 군요.좋은 정보입니다.추천드리고 가요.일단 눈으로 키핑해놓아야겠네요.감사드려요.
-
항상같음 2016.05.16 21:16
5.8일자로 업데이트 복호툴이 공개됐네요
https://support.kaspersky.com/viruses/utility#rannohdecryptor
-
머가달라도달라 2016.05.24 11:08
.locky 파일로 변환된 랜섬파일을 먹어서 자료 복사없이 걸린거라 포멧하고 허탈한 맘을 갖출수가 없습니다.
안철수 연구소 연구원과 통화하니 우리나라에서 해결못하고 일부 업체들이 자신의 업체에서 처리한양 속이고 돈을 몇배씩 받아
해커에게 고쳐와서는 업체에 다시 중개 전달하는 방법으로 돈을 벌고 있다고 하더군요
우리나라에 인재가 없어도 너무 없는것 같아요
다행이네요. 좋은자료 정보 고맙습니다. 맛점 하십시오 ^^