CryptXXX 2.0 - .hwp.crypt 파일 복구하기
2016.05.17 19:18
카스퍼스키에서 배포하는 RannohDecryptor가 업데이트되면서 동일한 파일크기로 암호화되는 .crypt 뿐만 아니라
파일 크기가 커지는 변종 또한 복구가 가능하게 되었습니다. 그런데 해당 툴을 돌려보면 한글 문서(.hwp)는 복구가 되지 않습니다.
저희 회사에도 한 대가 감염되어서 복구 툴을 돌렸는데 hwp 파일이 복구되지 않아서 당황했는데요,
검색을 해보니 워드 문서(.doc)로 위장(?)해서 툴을 돌리면 복구가 된다고 하더군요.
그렇다고 그 수많은 폴더에 흩어져 있는 hwp 파일들을 일일이 찾아서 확장자를 바꾸는건 힘드니까
조금 더 간단하게 해보도록 하겠습니다.
일단 암호화된 파일들이 있는 폴더를 E:\감염원본 으로 가정하고 진행하겠습니다.
감염된 파일을 대상으로 복구 툴을 돌려보면, 각 폴더마다 아래와 같이 hwp 파일은 제외되고 복구 되어있을 겁니다.
여기서 원본 폴더 구조를 그대로 유지하고 .hwp.crypt 파일을 복사하기 위해 감염원본 폴더에서 명령 프롬프트를 열고,
robocopy . H:\복구 *.hwp.crypt /s
H:\복구 부분은 복사할 대상 폴더이므로 각자 상황에 맞게 수정해주세요.
위에서 지정했던 대상폴더로 기존 폴더 구조를 그대로 유지한 채 .hwp.crypt 파일들만 복사된 것을 확인할 수 있습니다.
참고로 저는 빠른 복구를 위해 비어있는 USB로 복사했습니다.
이제 MS 워드 문서(.doc) 파일로 위장하기 위해 파일명을 일괄변경 하기 위해 아래의 명령을 차례대로 입력합니다.
for /f "usebackq delims=" %a in (`dir /b /s H:\복구\*.hwp.crypt`) do ren "%a" "%~na"
for /f "usebackq delims=" %a in (`dir /b /s H:\복구\*.hwp`) do ren "%a" "%~na.doc.crypt"
첫번째 명령은 파일명에서 .crypt 부분을 제거하기 위한 명령어입니다.
파일명.hwp - 이렇게 바뀝니다.
두번째 명령어는 MS 워드 문서로 위장하기 위해 파일명.doc.crypt 로 변경하는 명령어입니다.
여기까지 했다면 아래와 같이 파일명이 바뀌어 있을겁니다.
이제 다시 복구 툴을 돌립니다.
감염된 파일을 USB로 복사했기 때문에 설정을 조금 만져주고..
복구 툴을 돌려주면 doc 파일로 복구된 것을 확인할 수 있습니다.
이제 다시 hwp 확장자로 변경해야 하므로 아까 열어놓은 명령 프롬프트에 아래와 같이 입력합니다.
for /f "usebackq delims=" %a in (`dir /b /s H:\복구\*.doc`) do ren "%a" "%~na.hwp"
이제 모든 암호화된 hwp 파일을 복구했습니다.
감염원본 폴더에서 .hwp.crypt 파일을 모두 제거하고 복구된 파일들을 폴더 채로 덮어쓰기 해주면 끝입니다.
혹시 이 방법으로 hwp 말고 wmv나 dwg 파일도 복구될까 해서 해봤는데, 안 되더군요..
그래도 hwp는 건졌으니 다행입니다.
댓글 [9]
-
제니10 2016.05.17 19:26
좋은 정보 감사드립니다 -
오늘을사는자 2016.05.17 20:27
수고 많으십니다.
-
K케이 2016.05.17 21:21
위방법으로 *.txt 파일도 복구가 될까요??? ㅠㅠ
-
efny 2016.05.17 21:36
제가 해본게 hwp, wmv, avi, dwg, xlsm, htm, txt, bmp 였는데 유일하게 hwp만 성공했습니다.
-
cungice 2016.05.17 21:29
수고 많으셨습니다. 좋은 정보 감사합니다.
-
DarknessAngel 2016.05.18 04:43
renamer계열로 확장자 간단하게 일괄 교체 가능합니다
검색기능으로 암호화된 확장자 검색후 일괄 교체해서 수정하시면 됩니다
-
efny 2016.05.18 09:42
네, 사실 renamer 쓰는게 편하긴 하죠;
그래도 저처럼 renamer 안쓰는 사람들을 위해서 명령어로 해봤습니다.
-
내꼬마 2016.05.18 09:52
좋은 정보 감사합니다
-
드림캐쳐 2016.05.18 13:35
고맙습니다. 아쉽게도 .encrypted 는 되질않습니다.
테스트로 hwp.encrypted 하나를 .doc.encrypted 로 변경하고 해보았으나 원본을 요구하고 되지않는군요
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] | gooddew | - | - |
27863 | 바이두 폐쇄~!!??? [8] | 징징현아 | 1645 | 05-18 |
27862 | 와!!! [2] | 얼음심장 | 1037 | 05-18 |
27861 | 보기 않좋습니다. 뭐가구려서 신고합니까? [9] | 뜻정 | 1111 | 05-18 |
27860 | MS 공식 윈7용 통합 업데이트 나왔다네요 [7] | 컨피그 | 1842 | 05-18 |
27859 | 카조 보세요 [6] | 얼음심장 | 841 | 05-18 |
27858 | 신고가 접수된 게시물입니다 [18] | 선우 | 639 | 05-18 |
27857 | HWP를 러브레오피스 에서 열 수 있나보네요.... [3] | [벗님] | 847 | 05-17 |
27856 | 윈도우10 업그레이드 끝냈네요. [3] | 바론 | 1032 | 05-17 |
» | CryptXXX 2.0 - .hwp.crypt 파일 복구하기 [9] | efny | 2105 | 05-17 |
27854 | 에이디칩스 와 삼성 | [벗님] | 631 | 05-17 |
27853 | UMF 당첨됬습니닼ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ | 가고싶다으 | 692 | 05-17 |
27852 | 연속 4주째 주말 출근...옷에서 쩐내남... [1] |
|
652 | 05-17 |
27851 | 윈도우10에서 원드라이브 앱이 드디어 돌아왔네요 ㅎㅎ [1] | ANT-MAN | 1149 | 05-17 |
27850 | 혹시 파일좀 바이두에 올려주실분,,,, [3] | Morning_Le | 1251 | 05-17 |
27849 | 얼음심장님하고 1시간정도 통화 했는데 [4] |
|
876 | 05-17 |
27848 | 나처럼 나이 먹지 마소 [1] |
|
1116 | 05-17 |
27847 | 재미있네요... [2] | 얼음심장 | 929 | 05-17 |
27846 | 웃음... | 얼음심장 | 704 | 05-17 |
27845 | 글을 보면서.... [1] | 얼음심장 | 802 | 05-16 |
27844 | 콜레오 보시오 |
|
810 | 05-16 |