본문 바로가기

벌새::Software

CryptoMix 랜섬웨어(Ransomware) 복구툴 : Avast Decryption for CryptoMix (2017.2.24)

반응형

Avast 보안 업체에서 2016년 3월경부터 최근까지 유포한 CryptoMix 랜섬웨어(Ransomware) 계열 중 오프라인(Offline) 방식으로 암호화된 파일을 무료로 복구할 수 있는 Avast Decryption for CryptoMix 복구툴을 공개하였습니다.

 

CryptoMix 랜섬웨어 외에 CryptFile2 랜섬웨어, Zeta 랜섬웨어 변종이 존재하며 최근에는 CryptoShield 랜섬웨어까지 등장한 상태이며, 일반적으로 보안 업데이트가 제대로 이루어지지 않은 PC 환경에서 웹 사이트 접속 과정에서 취약점(Exploit)을 통해 자동 감염되는 방식으로 암호화가 진행됩니다.

 

CryptoMix 랜섬웨어 계열은 파일 암호화 시 C&C 서버와의 통신을 통해 암호화 키를 교환하는 온라인(Online) 방식이 일부 존재하지만, 대부분은 서버 통신없이 파일 암호화가 진행되는 오프라인(Offline) 방식으로 유포된 것으로 추정됩니다.

 

■ CryptoMix 랜섬웨어 계열에 의해 암호화된 파일 확장명

 

.code

.CRYPTOSHIELD

.lesli

.rmd

.rdmk

.rscl

.scl

 

 

■ CryptoMix 랜섬웨어 계열에 의해 생성된 랜섬웨어 메시지 파일명

 

# HELP_DECRYPT_YOUR_FILES #.TXT

# RESTORING FILES #.HTML

# RESTORING FILES #.TXT

HELP_DECRYPT_YOUR_FILES.HTML

HELP_DECRYPT_YOUR_FILES.TXT

HELP_YOUR_FILES.HTML

HELP_YOUR_FILES.TXT

INSTRUCTION RESTORE FILE.TXT

 

이 글에서는 다수의 CryptoMix 랜섬웨어 계열 중 2016년 12월경 유포되었던 샘플을 이용하여 복구 여부에 대해 확인해 보도록 하겠습니다.

 

취약점(Exploit)을 통해 자동 감염된 CryptoMix 랜섬웨어는 "C:\ProgramData\Spy Security SoftWare_(Random)_(Random).exe" 형태로 생성 및 실행되어 파일 암호화를 진행합니다.

 

 

Windows 부팅 시 시작 프로그램(Run, RunOnce) 영역에 Spy Security SoftWare, Spy Security SoftWares 등록값을 추가하여 자동 실행하도록 구성되어 있습니다.

 

 

파일 암호화가 진행된 후 완료 시점에서 "explorer.exe - Application Error" 가짜 오류창을 생성할 수 있습니다.

 

이후 "C:\Windows\System32\wbem\WMIC.exe" WMI 명령줄 유틸리티 실행을 통해 다른 파티션, USB, 공유 폴더 영역에 Microsoft Decryptor Ransomware.exe 파일을 생성하여 추가적인 감염을 유발할 수 있습니다.

 

만약 사용자가 생성된 Microsoft Decryptor Ransomware.exe 파일을 랜섬웨어 복구 파일로 착각하여 클릭할 경우 CryptoMix 랜섬웨어 행위를 통해 파일 암호화를 수행합니다.

 

  • C:\Windows\System32\cmd.exe /C vssadmin Delete Shadows /For=드라이브 문자: /All /Quiet
  • C:\Windows\System32\cmd.exe /C net stop vss
  • C:\Windows\system32\net1 stop vss
  • C:\Windows\System32\cmd.exe /C bcdedit /set {default} recoveryenabled No
  • C:\Windows\System32\cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • wbadmin  delete catalog -quiet

 

최종 암호화 완료 단계에서는 각 드라이브별로 시스템 복원 기능 삭제 및 부팅 복구를 할 수 없도록 명령어 수행이 이루어집니다.

 

모든 파일 암호화가 완료된 후에는 문서, 사진, 압축 파일, 음악 등 개인 파일이 (원본 파일명).email[supl0@post.com]id[(Random)].lesli 형태로 암호화됩니다.

 

 

또한 생성된 INSTRUCTION RESTORE FILE.TXT 랜섬웨어 메시지 파일에서는 특정 이메일 주소로 개인 확인 ID값을 전송하면 24시간 이내에 복구 안내를 받을 수 있다고 하고 있습니다.

 

 

약 1년 가까이 활동하던 CryptoMix 랜섬웨어 계열에 대해 Avast 보안 업체에서 개발한 Avast Decryption for CryptoMix 무료 복구툴을 통해 암호화된 파일을 복구하는 방법을 살펴보겠습니다.

 

 

Avast Decryption for CryptoMix 복구툴을 실행한 후 "Select location(s) to decrypt" 단계에서 암호화된 파일이 존재하는 드라이브 또는 폴더를 추가할 수 있습니다.

 

특정 드라이브를 삭제하기 위해서는 드라이브를 선택하여 DEL 버튼을 클릭하시기 바라며, 드라이브 또는 폴더 추가는 Add Local Drives, Add Network Drives, Add Folder... 버튼을 이용하시기 바랍니다.

 

 

  • Add encrypted file here : 암호화된 파일 선택
  • Add original file here : 선택한 암호화된 파일의 원본 파일

 

"Add an example file" 단계에서는 반드시 암호화된 파일의 원본 파일 1개는 필요하며, 해당 안내에서는 백업된 원본 파일 또는 메일/휴지통/바탕 화면 배경/윈도우 기본 사운드 파일 등에서 찾으라고 안내하고 있습니다.

 

 

이 문제를 가장 빠르게 해결할 수 있는 방법은 암호화된 드라이브에서 변경된 확장명으로 검색을 해서 다른 PC에서 동일한 파일을 찾는 것이 가장 빠릅니다.

 

 

원본 파일을 1개 구했다면 암호화된 파일과 해당 파일의 원본 파일을 각각 추가한 후 다음 단계로 진행하시기 바랍니다.

 

 

"Crack the password" 단계에서는 추가한 암호화된 파일과 원본 파일을 통해 비밀번호를 찾도록 Start 버튼을 클릭하시기 바랍니다.

 

 

실제로 비밀번호 크랙(Crack)을 진행하여 찾은 비밀번호가 자동으로 추가된 것을 확인할 수 있습니다.

 

 

  • Backup encrypted files : 암호화된 파일 백업(.backup)
  • Run the decryption process as an administrator : 관리자 권한으로 복호화 진행

 

"Backup encrypted files?" 단계에서는 앞서 찾은 비밀번호를 이용하여 암호화된 파일을 복구할 때 암호화된 파일을 백업(.backup)할지 여부와 복구 시 관리자 권한으로 진행할지를 물으므로 기본값으로 진행하시길 권장합니다.

 

 

암호화된 파일에 대한 복호화가 완료된 후에는 로그를 통해 성공 여부를 확인할 수 있으며 타 복구툴에 비해 속도는 우수한 것으로 보입니다.

 

실제 복구된 폴더를 확인해보면 암호화된 파일은 .backup 확장명으로 백업되어 있으며, 복구된 원본 파일은 기존의 확장명으로 복구된 것을 볼 수 있습니다.

 

 

복구된 PDF 문서를 실행해보면 정상적으로 문서가 오픈되며, 다른 CryptoMix 랜섬웨어 계열에서도 성공적으로 복구가 이루어질 것으로 보입니다.

 

단지 최근에 유포되는 CryptoShield 랜섬웨어의 경우에는 초기 버전에서는 복구가 가능할지 몰라도 복구툴이 공개된 시점부터는 암호화 방식의 변경이 이루어져서 복구되지 않을 가능성이 있으므로 랜섬웨어에 감염되지 않도록 주의하시기 바랍니다.

 

마지막으로 CryptoMix 랜섬웨어 계열은 취약점(Exploit)을 통해 감염이 발생하므로 Windows, Adobe Flash Player, 웹 브라우저와 같은 PC에 설치된 각종 소프트웨어를 항상 최신 버전으로 업데이트하시기 바랍니다.

728x90
반응형