보안에 취약한 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 통해 관리자 몰래 접속하여 랜섬웨어(Ransomware) 악성코드를 실행하여 다수의 파일을 암호화한 후 비트코인(Bitcoin)을 요구하는 CrySis 랜섬웨어 (= Dharma 랜섬웨어)는 다양한 변종이 현재까지 발견되고 있습니다.

 

 

하지만 마스터 키(Master Key)가 인터넷 상에 공개되면서 현재까지 다음과 같은 형태로 암호화된 파일에 대한 복호화가 가능한 상태입니다.

 

  • <원본 파일명>.<원본 확장명>.id-<Random>.<이메일 주소>.CrySiS
  • <원본 파일명>.<원본 확장명>.id-<Random>.<이메일 주소>.xtbl
  • <원본 파일명>.<원본 확장명>.[이메일 주소].dharma

 

그런데 이후에 나중 CrySis 랜섬웨어 중에 <원본 파일명>.<원본 확장명>.[이메일 주소].wallet 형태로 암호화되는 변종에 대한 마스터 키가 최근에 추가적으로 공개됨에 따라 Avast! 보안 업체에서 Avast Decryption Tool for CrySiS 복구툴(avast_decryptor_crysis.exe 파일 다운로드)을 업데이트 하였습니다.

 

우선 .wallet 확장명 형태로 암호화된 CrySis 랜섬웨어의 대표적인 사례에 대해 간단하게 살펴보도록 하겠습니다.

 

사용자 몰래 PC에 원격 접속하여 실행된 CrySis 랜섬웨어는 문서, 사진, 동영상, 음악, 압축 파일 등 다수의 데이터를 다음과 형태로 암호화할 수 있습니다.

 

 

암호화된 파일 유형

랜섬웨어 메시지 파일

.[amagnus@india.com].wallet

Good morning DECRYPT FILES.jpg

Good morning.txt

.[webmafia@asia.com].wallet

Decryption instructions webmafia@india.com recovery.txt

info.hta

.id-<Random>.[amanda_sofost@india.com].wallet

DATA BACK.txt

Info.hta

.id-<Random>.[crannbest@foxmail.com].wallet

crann—recovery.txt

info.hta

.id-<Random>.[gotham_mouse@aol.com].wallet

FILES ENCRYPTED.txt

Info.hta

.id-<Random>.[mia.kokers@aol.com].wallet

Decryption instructions mia.kokers recovery.txt

Info.hta

.id-<Random>.[shamudin@india.com].wallet

HOW_TO_RESTORE_FILES.txt

Info.hta

.id-<Random>.[space_rangers@aol.com].wallet

BACK DATA BASE.txt

Info.hta

 

참고로 예시로 공개한 암호화된 파일 유형을 포함하여 최소 100종 이상의 변종이 존재한 것으로 알려져 있습니다.

 

 

파일 암호화가 완료된 후에는 "All your files have been encrypted!" 랜섬웨어 메시지 파일 실행을 통해 특정 이메일 주소로 사용자 ID 정보를 포함하여 연락할 경우 결제 안내를 받을 수 있다고 표시합니다.

 

CrySis 랜섬웨어 자동 실행 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - <Random>.exe = C:\Users\%UserName%\AppData\Roaming\<Random>.exe

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - C:\Users\%UserName%\AppData\Roaming\Info.hta = mshta.exe "C:\Users\%UserName%\AppData\Roaming\Info.hta"
 - C:\Windows\System32\Info.hta = mshta.exe "C:\Windows\System32\Info.hta"
 - <Random>.exe = C:\Windows\System32\<Random>.exe

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\<Random>.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Info.hta

C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<Random>.exe
C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

 

 

 

특히 CrySis 랜섬웨어는 암호화 대상 폴더에 존재하는 모든 파일을 암호화하는 문제로 인해 설치된 프로그램(※ MS Office, 한컴오피스, 압축 프로그램 등) 다수가 암호화되어 사실상 감염된 PC는 포맷이 필요한 수준이 될 수 있습니다.

 

위와 같이 <원본 파일명>.<원본 확장명>.[이메일 주소].wallet 형태로 암호화된 CrySis 랜섬웨어로 피해를 입은 사용자는 다음과 같은 방법으로 Avast Decryption Tool for CrySiS 복구툴을 이용해 보시기 바랍니다.

 

 

다운로드한 avast_decryptor_crysis.exe 파일을 실행하여 진행을 하는 과정에서 "Select location(s) to decrypt" 단계에서는 암호화된 파일이 존재하는 드라이브 또는 특정 폴더를 추가할 수 있습니다.

 

만약 특정 폴더에 암호화된 파일이 존재한다면 기본적으로 추가된 드라이브는 DEL 버튼을 클릭하여 제거하신 후 "Add Folder ..." 버튼을 클릭하여 암호화된 파일이 존재하는 폴더를 추가하시기 바랍니다.

 

 

  • Backup encrypted files : 암호화된 파일 백업
  • Run the decryption process as an administrator : 관리자 권한으로 복호화 진행

 

다음 단계에서는 기본값으로 체크된 항목을 그대로 유지한 상태로 진행하시는 것이 안전하게 파일 복호화를 할 수 있습니다.

 

 

암호화된 파일에 대한 복호화는 PC 성능 및 파일수에 따라 소요되는 시간이 다를 수 있으며 모든 복호화가 완료된 후에는 닫기(Close) 버튼을 클릭하신 후 암호화된 파일이 저장된 폴더를 확인하시기 바랍니다.

 

 

테스트에서는 <원본 파일명>.<원본 확장명>.id-<Random>.[crannbest@foxmail.com].wallet 형태로 암호화된 CrySis 랜섬웨어를 이용하여 복호화를 진행하였으며 정상적으로 원본 파일이 생성된 것을 확인할 수 있습니다.

 

 

실제로 복구된 파일을 오픈해보면 정상적으로 문서가 오픈되는 것을 확인할 수 있으므로 .wallet 확장명으로 암호화된 CrySis 랜섬웨어 감염자는 복구를 진행해 보시기 바랍니다.

 

 

하지만 최근 CrySis 랜섬웨어(Ransomware)는 .id-<Random>.[volantem_diem@aol.com].onion 형태로 파일 암호화가 진행되는 것으로 파악되고 있으므로 원격 지원 서비스를 특별히 사용하지 않는 경우에는 Windows 운영 체제의 원격 데스크톱 기능을 허용하지 않도록 변경하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..