국내에서 가장 감염률이 높은 Cerber 랜섬웨어(Ransomware)는 2017년 6월 하순경부터 CRBR Encryptor 랜섬웨어(Ransomware)로 이름이 변경되어 꾸준하게 유포가 이루어지고 있다는 소식을 전한 적이 있습니다.
이미 Cerber 랜섬웨어(Ransomware) Red 버전의 경우 특정 폴더(드라이브) 영역만을 암호화하는 방식과 시스템 복원 기능을 삭제하지 않기 때문에 암호화된 파일을 복구할 수 있는 가능성에 대해서도 언급한 적이 있었습니다.
이번에 이름이 변경된 CRBR Encryptor 랜섬웨어 역시 기존과 마찬가지로 시스템 복원 기능은 감염으로 인해 삭제되는 행위는 발견되지 않고 있다는 점에서 중요 파일이 복구되어 있는 드라이브에 대하여 시스템 복원 기능을 활용하면 일정 수준 복구가 가능할 수도 있기에 다시 한 번 살펴보도록 하겠습니다.
우선 시스템 복원 기능은 반드시 C 로컬 디스크(운영 체제가 설치된 드라이브)의 시스템 보호를 사용해야하며, 기본값에서는 C 드라이브 외의 다른 드라이브가 존재할 경우 사용자가 추가적으로 시스템 보호 기능 사용 여부를 설정해야 합니다.
CRBR Encryptor 랜섬웨어의 경우 파일 암호화 시 C 드라이브 외의 외장 디스크가 존재할 경우 우선적으로 암호화가 진행되며, C 드라이브의 경우에도 문서, 바탕 화면, C 루트 폴더 중 기본 폴더를 제외한 폴더만을 암호화합니다.
만약 CRBR Encryptor 랜섬웨어 감염이 이루어진 환경에서 D 드라이브에 대한 시스템 복원 기능을 사용하고 있었다면 ShadowExplorer 프로그램을 이용하여 가장 최근에 생성된 복구 지점을 선택하여 백업된 파일 중 복구를 원하는 파일을 추출(Export...)할 수 있습니다.
실제 테스트를 통해 추출한 파일의 훼손 여부를 검토해보면 시스템 복원점에서 추출한 파일이 정상 파일임을 확인할 수 있습니다.
■ 랜섬웨어(Ransomware) 감염으로 암호화된 대용량 파일에 대한 복구 가능성
랜섬웨어(Ransomware)마다 파일 암호화 방식은 모두 다르지만 대용량 파일에 대한 효과적인 암호화를 위하여 특정 파일 용량 이상의 대용량의 경우에는 일부 코드만을 암호화하는 경우가 있습니다.
CRBR Encryptor 랜섬웨어 역시 기존의 Cerber 랜섬웨어와 동일하게 파일 전체를 암호화하는 것이 아닌 특정 영역만을 암호화하여 파일을 열 수 없도록 합니다.
실제로 500MB, 2GB, 3GB 이상의 동영상 파일이 CRBR Encryptor 랜섬웨어에 의해 암호화된 경우 내부 코드를 확인해 보았습니다.
암호화된 파일은 파일 헤더(Header) 영역은 건드리지 않고 Offset 0x708 값부터 암호화가 진행된 것을 알 수 있습니다.
이후 암호화된 코드는 Offset 0x4000743 영역까지만 암호화가 진행된 후 이후는 원래의 정상적인 코드로 유지가 이루어집니다.
이를 통해 CRBR Encryptor 랜섬웨어는 약 64MB 파일 크기만을 암호화하고 있으며, 만약 3GB 수준의 대용량 파일인 경우에는 64MB 영역 외의 코드는 정상적인 코드라는 의미입니다.
이런 점에 착안하여 암호화된 대용량 파일에 원래의 정상적인 파일 확장명(.mp4)을 추가한 후 동영상 재생 프로그램을 통해 재생 가능 여부를 확인해 보았습니다.
결론을 말하자면 ① 영상 앞 부분은 깨지지만 큰 문제없이 재생할 수 있는 경우가 있다는 점 ② 팟플레이어(PotPlayer)로 재생 가능하지만 네이버 미디어 플레이어로는 재생되지 않거나 반대인 경우도 있다는 점으로 요약할 수 있습니다.
그러므로 CRBR Encryptor 랜섬웨어에 의해 암호화된 파일이 500MB 이상의 대용량 파일인 경우에는 해당 파일의 확장명을 정확하게 수정하여 재생 여부를 체크하는 것도 분명 도움이 될 수 있습니다.
또한 앞서 언급한 것처럼 시스템 복원 기능을 C 드라이브 외의 다른 파티션(외장 하드)도 활성화하여 주기적으로 시스템 복원점을 생성하여 만약의 피해로부터 복구 가능성을 확보하는 것도 권장합니다.