2015년 초에 등장하여 최근까지 문서, 사진, 압축 파일 등을 암호화하여 돈을 요구하던 TeslaCrypt 랜섬웨어(Ransomware)가 최근 서비스를 완전히 종료함에 따라 제작자가 복호화 키를 공개하였다는 소식입니다.
이에 따라 BleepingComputer와 ESET 보안 업체에서는 TeslaCrypt 랜섬웨어로 암호화된 파일을 완벽하게 복구할 수 있는 복구툴을 공개함에 따라 사용 방법에 대해 살펴보도록 하겠습니다.
■ TeslaCrypt 랜섬웨어(Ransomware) 정보
TeslaCrypt 랜섬웨어는 2016년 3월 중순경 TeslaCrypt 4.0 버전으로 업데이트가 이루어졌으며, 파일 암호화 시도 과정에서 svchost.exe 시스템 파일을 이용하여 볼륨 섀도 복사본 서비스를 삭제하기 위한 명령어("C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet)를 수행합니다.
감염된 환경에서는 문서 폴더 내에 숨김(H) 속성값을 가진 "C:\Users\(로그인 계정명)\Documents\wlrmdr.exe" 랜덤(Random)한 파일명을 가진 악성 파일(SHA-1: fe1319b0ed543edd2e1817258f77b2e5cc643d91 - 알약(ALYac) : Trojan.Ransom.TeslaCrypt)을 생성하여 파일 암호화를 시도합니다.
파일 암호화가 진행될 경우 TeslaCrypt 종류에 따라 확장명이 추가될 수 있으며, TeslaCrypt 4.2 버전의 경우에는 확장명 변경없이 암호화가 진행될 수 있습니다.
파일 암호화 완료 후에는 !RecoveR!-aenzo++.HTML / !RecoveR!-aenzo++.PNG / !RecoveR!-aenzo++.TXT 3종의 랜섬웨어 결제 안내 파일을 생성하며, 시작프로그램 폴더 영역(C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)에 메시지 파일을 추가하여 부팅 시마다 자동으로 노출되도록 구성됩니다.
1. BleepingComputer 공개 TeslaDecoder 복호화 도구
BleepingComputer에서 공개한 TeslaDecoder 복호화 도구를 다운로드하여 ZIP 압축을 해제하시기 바랍니다.
압축 해제된 파일 중 TeslaDecoder.exe 파일을 실행하시기 바라며, 사전에 TeslaCrypt 랜섬웨어로 인하여 암호화된 파일을 특정 폴더에 저장하시고 진행하시면 편하십니다.
실행된 BloodDolly's TeslaDecoder 복호화 도구 메뉴 중 "Set key" 버튼을 찾아 클릭하시기 바라며, 해당 복호화 도구는 TeslaCrypt 0.x 버전부터 암호화된 파일을 복구할 수 있는 것으로 보입니다.
생성된 창에서 Key (hex) 공란에 "440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE" 복호화 키를 복사하여 넣으신 후 TeslaCrypt 랜섬웨어에 의해 암호화된 파일의 확장명을 Extension 메뉴에서 선택하시기 바랍니다.
현재 제공되는 확장명은 ".ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt, .micro, .mp3 및 원본 확장명 그대로 암호화된 경우(as original)"입니다.
모든 설정이 완료된 후에는 하단에 위치한 "Set key" 버튼을 클릭하시기 바랍니다.
다음 단계에서는 "Encrypted files" 메뉴에서 특정 폴더(Decrypt folder) 또는 전체 디스크(Decrypt all)를 대상으로 파일 복호화를 자동으로 진행하도록 설정할 수 있으며, 편의를 위해서는 암호 해제가 필요한 파일을 특정 폴더에 넣으시고 폴더를 지정하여 진행하시길 권장합니다.
참고로 파일 복호화 시 암호화된 파일에 대한 백업(.TeslaBackup) 파일을 생성할지 선택할 수 있으며, 예(Y)를 선택할 경우 백업 파일 생성없이 암호화된 파일에 덮어쓰기 방식으로 진행하므로 안전을 위해서는 아니요(N)를 선택하여 백업을 생성하면서 복호화를 진행하시길 권장합니다.
테스트에서는 TeslaCrypt 4.2 최신 버전(확장명 변경없음)을 통해 암호화된 파일을 시도하였으며, 복호화된 파일 목록은 BloodDolly's TeslaDecoder 복호화 도구가 위치한 폴더에 log.txt 파일로 생성됩니다.
복호화가 완료된 후 암호화된 TXT 파일이 정상적으로 복구가 이루어진 것을 확인할 수 있으며, 그 외에도 .doc, .jpg, .pdf, .png, .ppt, .rtf, .zip 등의 암호화된 파일이 정상적으로 복구되었음을 확인하였습니다.
2. ESET 보안 업체에서 제공하는 ESET Win32/Filecoder.TeslaCrypt Cleaner 복호화 도구
ESET 보안 업체에서도 복호화에 필요한 키가 공개됨에 따라 TeslaCrypt 랜섬웨어에 의해 암호화된 파일을 복구할 수 있는 ESET Win32/Filecoder.TeslaCrypt Cleaner 복호화 도구를 공개하였습니다.
ESET Win32/Filecoder.TeslaCrypt Cleaner 복호화 도구는 CMD 모드 방식으로 동작하므로 명령 프롬프트(관리자) 메뉴를 실행하여 다운로드한 ESETTeslaCryptDecryptor.exe 파일을 실행하시기 바랍니다.
실행된 ESET Win32/Filecoder.TeslaCrypt Cleaner 복호화 도구의 사용법을 확인해보면 [ESETTeslaCryptDecryptor.exe [옵션] <파일명 또는 디렉토리명>] 형태로 사용하실 수 있습니다.
실제 복호화를 시도해보면 TeslaCrypt 3.0.0 ~ TeslaCrypt 4.2 버전까지 암호화된 파일을 지원한다는 점에서 BleepingComputer에서 제공하는 복호화 도구가 더 광범위하게 파일 복호화를 진행할 수 있으리라 추정됩니다.
복호화가 진행된 후에는 .backup_1_by_eset 백업 파일이 생성되며, TeslaCrypt 랜섬웨어에 의해 암호화된 파일이 정상적으로 복구되는 것을 확인할 수 있었습니다.
그러므로 기존에 TeslaCrypt 랜섬웨어(Ransomware)에 의해 암호화되어 해제하지 못하고 있었던 파일이 존재한다면 공개된 복호화 도구를 통해 암호를 해제하시기 바랍니다.
참고로 TeslaCrypt 랜섬웨어 시대는 종말을 고했지만 기존 유포자들은 CryptXXX 랜섬웨어(Ransomware)로 전환하여 지속적인 사이버 범죄 행위를 진행하고 있다는 점에서 피해를 당하지 않도록 주의하시기 바랍니다.