2015년 4월경 네덜란드 경찰 소속의 The National High Tech Crime Unit (NHTCU)과 Kaspersky 보안 업체의 협력을 통해 CoinVault 랜섬웨어(Ransomware) C&C 서버를 확보하여 암호화된 파일을 복호화할 수 있는 724개의 복구키를 확보한 적이 있었습니다.
이를 통해 Kaspersky 보안 업체에서는 CoinVault Decryption 도구를 통해 AES-128, AES-256 암호화 알고리즘을 사용하는 CoinVault 랜섬웨어(Ransomware)에 의해 암호화된 파일을 무료로 복구할 수 있는 서비스를 제공하였습니다.
그 후 2015년 9월경 네덜란드 경찰은 2명의 랜섬웨어(Ransomware) 용의자를 검거하여 이들이 운영하는 서버를 확보하여 14,031개의 복호화 키를 확보하였다는 소식입니다.
이에 따라 Kaspersky Ransomware Decryptor 웹 사이트를 통해 BitCryptor, CoinVault 랜섬웨어(Ransomware) 감염으로 암호화된 파일을 복구할 수 있는 Trojan-Ransom.MSIL.CoinVault decryptor tool 도구(※ 클릭시 파일 다운로드 : CoinVaultDecryptor.zip)를 새롭게 공개하였습니다.
■ "Trojan-Ransom.MSIL.CoinVault decryptor tool" 사용 방법
- 영문 사용 설명서 (PDF) : noransom.kaspersky.com/static/CoinVault-decrypt-howto.pdf
다운로드된 CoinVaultDecryptor.zip 압축 파일을 해제한 후 생성된 CoinVaultDecryptor.exe 파일을 관리자 권한으로 실행하시기 바랍니다.
실행된 도구는 자동 업데이트 체크를 통한 초기화 작업을 진행한 후 다음과 같은 화면을 생성합니다.
"Kaspersky CoinVaultDecryptor (File decryptor tool)" 도구는 BitCryptor, CoinVault 랜섬웨어(Ransomware)에 감염된 PC 환경에서 생성되는 filelist.cvlst 파일이 존재한 경우를 기본 설정값으로 동작하도록 구성되어 있습니다.
1. filelist.cvlst 파일이 존재한 환경
filelist.cvlst 파일이 PC에 존재한 경우에는 기본 설정값 그대로 "Start scan" 버튼을 클릭하여 filelist.cvlst 파일을 찾아 "열기" 버튼을 클릭할 경우 자동으로 암호화된 파일을 복구할 수 있습니다.
2. filelist.cvlst 파일이 존재하지 않는 환경
만약 filelist.cvlst 파일이 존재하지 않는 PC 환경에서는 임의의 폴더를 생성한 후 폴더 내부에 BitCryptor, CoinVault 랜섬웨어(Ransomware)로 암호화된 파일을 생성한 폴더에 모두 이동하시기 바랍니다.(※ 복호화 과정에서 오류가 발생할 수 있으므로 암호화된 파일을 백업해 두시길 권장합니다.)
"Kaspersky CoinVaultDecryptor (File decryptor tool)" 도구의 "Change parameters" 메뉴를 실행하여 "Objects to scan" 설정 항목에서 "Folder with encrypted files" 항목에 체크를 하시기 바랍니다.
설정 후 검사(Start scan)을 시도할 경우 경고(Warning)창이 생성되어 임의의 폴더에 암호화된 파일을 넣은 후 검사를 진행하도록 안내하고 있으므로 "Continue" 버튼을 클릭하시기 바랍니다.
다음 단계에서는 암호화된 파일이 존재하는 임의의 폴더를 직접 지정하시면 검사가 진행되어 자동으로 암호화된 파일이 복호화됩니다.
기본적으로 암호화된 파일(○○○.doc)이 복호화된 경우 복호화 파일은 ○○○.decryptedKLR.doc 파일명 형태로 이름을 지정합니다.
만약 사용자가 암호화된 파일명 그대로 복호화된 파일명으로 생성되기를 원한다면 "Change parameters" 메뉴를 실행하여 "Additional options" 항목의 "Replace encrypted files with decrypted ones" 항목에 체크한 후 검사를 진행하시기 바랍니다.
그러므로 기존에 BitCryptor, CoinVault 2종의 랜섬웨어(Ransomware)에 감염되어 암호화된 사용자는 "Kaspersky CoinVaultDecryptor (File decryptor tool)" 도구를 이용하여 암호화된 파일을 복호화 시도해 보시기 바랍니다.
또한 다른 종류의 랜섬웨어(Ransomware) 악성코드에 감염된 경우에도 이번처럼 공격자 서버가 확보되어 복호화 키가 확보될 수 있다는 점에서 암호화된 파일을 일정 기간 외장 하드와 같은 저장 매체에 백업하여 보관해 두시는 것도 현명한 방법입니다.
마지막으로 PC를 사용하던 중 랜섬웨어(Ransomware) 악성코드에 감염된 것이 확인되는 즉시 강제로 컴퓨터 전원을 종료한 후 부팅시 안전 모드(네트워킹 사용)로 부팅한 후 파일을 암호화하는 랜섬웨어(Ransomware) 악성 파일을 찾아 제거한 후 정상적으로 부팅하신다면 피해를 최소화할 수 있는 임시 대응책이라고 생각됩니다.
☞ TorLocker 랜섬웨어(Ransomware)로 암호화된 파일 복구툴 : ScraperDecryptor (2015.4.11)
☞ PClock2 랜섬웨어(Ransomware)로 암호화된 파일 복구툴 : Emsisoft Decrypter for PClock2 (2015.4.16)
☞ TeslaCrypt 랜섬웨어(Ransomware) 파일 복구툴 : Talos TeslaCrypt Decryptor (2015.5.25)
☞ ShadowExplorer 프로그램을 이용한 랜섬웨어(Ransomware) 암호화 파일 복구 방법 (2015.10.28)