자유 게시판

CryptXXX 2.0 - .hwp.crypt 파일 복구하기

2016.05.17 19:18

efny 조회:2105 추천:1

카스퍼스키에서 배포하는 RannohDecryptor가 업데이트되면서 동일한 파일크기로 암호화되는 .crypt 뿐만 아니라

파일 크기가 커지는 변종 또한 복구가 가능하게 되었습니다. 그런데 해당 툴을 돌려보면 한글 문서(.hwp)는 복구가 되지 않습니다.


저희 회사에도 한 대가 감염되어서 복구 툴을 돌렸는데 hwp 파일이 복구되지 않아서 당황했는데요,

검색을 해보니 워드 문서(.doc)로 위장(?)해서 툴을 돌리면 복구가 된다고 하더군요.


그렇다고 그 수많은 폴더에 흩어져 있는 hwp 파일들을 일일이 찾아서 확장자를 바꾸는건 힘드니까

조금 더 간단하게 해보도록 하겠습니다.


일단 암호화된 파일들이 있는 폴더를 E:\감염원본 으로 가정하고 진행하겠습니다.


감염된 파일을 대상으로 복구 툴을 돌려보면, 각 폴더마다 아래와 같이 hwp 파일은 제외되고 복구 되어있을 겁니다.

01-hwp는_자동으로_복구되지않음.png


여기서 원본 폴더 구조를 그대로 유지하고 .hwp.crypt 파일을 복사하기 위해 감염원본 폴더에서 명령 프롬프트를 열고,


robocopy . H:\복구 *.hwp.crypt /s


H:\복구 부분은 복사할 대상 폴더이므로 각자 상황에 맞게 수정해주세요.

02-폴더구조를_그대로_유지하고_복사합니다.png


위에서 지정했던 대상폴더로 기존 폴더 구조를 그대로 유지한 채 .hwp.crypt 파일들만 복사된 것을 확인할 수 있습니다.

참고로 저는 빠른 복구를 위해 비어있는 USB로 복사했습니다.

03-복사된_파일_확인.png



이제 MS 워드 문서(.doc) 파일로 위장하기 위해 파일명을 일괄변경 하기 위해 아래의 명령을 차례대로 입력합니다.


for /f "usebackq delims=" %a in (`dir /b /s H:\복구\*.hwp.crypt`) do ren "%a" "%~na"
for /f "usebackq delims=" %a in (`dir /b /s H:\복구\*.hwp`) do ren "%a" "%~na.doc.crypt"


첫번째 명령은 파일명에서 .crypt 부분을 제거하기 위한 명령어입니다.

파일명.hwp - 이렇게 바뀝니다.

04-crypt_확장자_제거.png


두번째 명령어는 MS 워드 문서로 위장하기 위해 파일명.doc.crypt 로 변경하는 명령어입니다.

05-doc.crypt_확장자_변경.png 

여기까지 했다면 아래와 같이 파일명이 바뀌어 있을겁니다.

06-MS워드문서_위장완료.png 


이제 다시 복구 툴을 돌립니다.

감염된 파일을 USB로 복사했기 때문에 설정을 조금 만져주고..

07-이동식디스크만_복구하도록_설정.png 

복구 툴을 돌려주면 doc 파일로 복구된 것을 확인할 수 있습니다.

08-doc로_복구됨.png 


이제 다시 hwp 확장자로 변경해야 하므로 아까 열어놓은 명령 프롬프트에 아래와 같이 입력합니다.


for /f "usebackq delims=" %a in (`dir /b /s H:\복구\*.doc`) do ren "%a" "%~na.hwp"


09-hwp_복구완료.png 


이제 모든 암호화된 hwp 파일을 복구했습니다.

감염원본 폴더에서 .hwp.crypt 파일을 모두 제거하고 복구된 파일들을 폴더 채로 덮어쓰기 해주면 끝입니다.




혹시 이 방법으로 hwp 말고 wmv나 dwg 파일도 복구될까 해서 해봤는데, 안 되더군요..

그래도 hwp는 건졌으니 다행입니다.

번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
27863 바이두 폐쇄~!!??? [8] 징징현아 1645 05-18
27862 와!!! [2] 얼음심장 1037 05-18
27861 보기 않좋습니다. 뭐가구려서 신고합니까? [9] 뜻정 1111 05-18
27860 MS 공식 윈7용 통합 업데이트 나왔다네요 [7] 컨피그 1842 05-18
27859 카조 보세요 [6] 얼음심장 841 05-18
27858 신고가 접수된 게시물입니다 [18] 선우 639 05-18
27857 HWP를 러브레오피스 에서 열 수 있나보네요.... [3] [벗님] 847 05-17
27856 윈도우10 업그레이드 끝냈네요. [3] 바론 1032 05-17
» CryptXXX 2.0 - .hwp.crypt 파일 복구하기 [9] efny 2105 05-17
27854 에이디칩스 와 삼성 [벗님] 631 05-17
27853 UMF 당첨됬습니닼ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 가고싶다으 692 05-17
27852 연속 4주째 주말 출근...옷에서 쩐내남... [1] 1승5패 652 05-17
27851 윈도우10에서 원드라이브 앱이 드디어 돌아왔네요 ㅎㅎ [1] ANT-MAN 1149 05-17
27850 혹시 파일좀 바이두에 올려주실분,,,, [3] Morning_Le 1251 05-17
27849 얼음심장님하고 1시간정도 통화 했는데 [4] 아바코 876 05-17
27848 나처럼 나이 먹지 마소 [1] 산처럼바람 1116 05-17
27847 재미있네요... [2] 얼음심장 929 05-17
27846 웃음... 얼음심장 704 05-17
27845 글을 보면서.... [1] 얼음심장 802 05-16
27844 콜레오 보시오 아바코 810 05-16
XE1.11.6 Layout1.4.8