본문 바로가기

벌새::Software

한국을 표적으로 한 Magniber 랜섬웨어(README.txt / READ_ME.txt) 복구툴 정보 (2018.4.2)

반응형

2017년 10월 중순경부터 한국어 운영 체제에서만 파일 암호화 행위가 이루어지는 Magniber 랜섬웨어(Ransomware)는 보안 패치가 제대로 이루어지지 않은 PC 환경에서 웹 사이트 접속 시 취약점(Exploit)을 통해 자동 감염되는 방식으로 현재까지 꾸준하게 유포되고 있습니다.

 

그런데 안랩(AhnLab) 보안 업체에서 최근 유포되는 Magniber 랜섬웨어의 암호화 방식의 약점을 확인하여 무료로 복구할 수 있는 복구툴을 공개하였습니다.

 

단지 기존에 유포된 Magniber 랜섬웨어 중 "_HOW_TO_DECRYPT_MY_FILES_<Random>_.txt, READ_ME_FOR_DECRYPT_<Random>_.txt, READ_ME_FOR_DECRYPT.txt, READ_FOR_DECRYPT.txt" 메시지 파일을 생성하였던 변종은 복구를 할 수 없으며, 최근에 파일 암호화 후 생성되는 READ_ME.txt, README.txt 메시지 파일이 생성되는 경우에만 복구가 가능합니다.

 

안랩(AhnLab)에서 공개한 정보를 참고해보면 파일 복구를 위해서는 반드시 키(Key)값과 벡터(Vector)값을 사용자가 알고 있어야 합니다.

 

 

기본적으로 벡터(Vector)값은 Magniber 랜섬웨어 감염으로 생성된 README.txt 파일에 표시된 URL 주소의 뒷자리 값으로 사용자가 쉽게 확인할 수 있습니다.

 

하지만 사용자는 기본적으로 암호화된 파일 확장명과 벡터값만 확인이 가능하며, 암호화에 사용된 공개키 정보는 알 수 없기에 안랩(AhnLab) 블로그에서는 지속적으로 복구 가능한 확장명을 기준으로 키 정보를 공개할 예정이라고 합니다.

 

이에 안랩(AhnLab)에서 공개한 Magniber 랜섬웨어 복구툴을 이용하여 현재 공개되지 않은 다른 변종 파일에 의해 암호화된 파일이 복구 가능한지 확인해 보도록 하겠습니다.

 

 

2018년 4월 2일경에 유포된 Magniber 랜섬웨어 변종에 의해 암호화된 파일은 .hxzrvhh 확장명으로 암호화가 이루어졌습니다.

 

유포 날짜 메시지 파일명 암호화된
파일 확장명
키(Key) 벡터(Vector)
11월 8일
(복구 정보)
READ_ME_FOR_DECRYPT.txt .madrcby E897q5ym6cN4g2iE b73lY4SygK8SmOw8
1월 17일
(복구 정보)
READ_FOR_DECRYPT.txt .iceitjjo s528qn9ruSa9M4tY i8qi3H729YU7Yg82
3월 1일 READ_ME.txt .errdpty WBg1ei772y256459 Ax1149q0PObc9xT3
3월 11일 READ_ME.txt .qbzzaflts m4PHtC0FAD8Rd13J ze1I2xA25x0390T8
3월 24일 README.txt .uqpupoubk n0234ou8dG2852Y3 m67a2Cq9Wgxm3J9L
3월 29일 README.txt .zuqpqkz MexXih15d326BEG7 e1hR8O67aT39006b
3월 29일 README.txt .qtbwzam GVgX3hd0i8248Xn9 RhpL7f0yM4447Yr9
3월 30일 README.txt .vrwmlmbpk i2700c80Mh2Dy5Hs gz4790A6X62633ZR
3월 31일 README.txt .xxzbrah zTLBP5mJvj5U13n3 EBW2TOs0n93TFYE6
4월 1일 README.txt .ezjasdu Tn6253SfxZaheR41 D7R66y1724z89M2l
4월 1일 README.txt .ctffcqen s8K86k5Q6n7R06L9 K06296slW865E063
4월 1일 README.txt .varulgaej E8dO5A041a5D48o8 N4561H6O19SK0YV0
4월 2일 README.txt .hxzrvhh EsoNSQ0oaSE614v1 lEF91UX3DHb1N194
4월 2일 README.txt .vcjxopq RA34I1F35XY29x10 tS3Fd3IfJKSw7918
4월 3일 README.txt .gcwssbfuw B4484pQ2w3y6Icq6 X0x117b1Um535FD8
4월 3일 README.txt .jxrhgat CZH7Fy6Q537ycWX3 R9Ltm45J2oVk7ciZ
4월 3일 README.txt .qgsxyzidg g5eIdGlVqO9s1Naj Nu4996t2h6m7K3bx
4월 3일 README.txt .jozncdx cPlE6aA609HJKmfH GQ7682r13624LE1c
4월 3일 README.txt .uipdyyfsg yT0iVg38r9E4ksYZ jb6Q72q32Gd5G7M1
4월 3일 README.txt .fhpjvusz Ux4ZsI528bbFYa3I XB9z02e1nvz09k9y
4월 4일 README.txt .wqtmfil EL76Wn6uIRI73Yfj TE515HQ571it4f04
4월 4일 README.txt .veidrssph G8DPM9P4Qy3259e7 j6IGQx4k52C7Tc2I


4월 5일
README.txt

.ddvzdmh


is45bpE4yVN50Ah4


jq6l9N5QxJG6O61F
4월 5일 README.txt .ptqzmpr NK57S333676TR452 WB7Nd859MS90Q017
4월 5일 README.txt .piouqjwhh i1438z9Vf3G7oECJ m5T03C6u8GEd10A4
4월 5일 README.txt .ywxhyjp MWdYs0RT9ga0460X SCB3337m5450g8s2

 

Magniber 랜섬웨어 복구툴을 임의의 폴더에 다운로드한 후 실행을 위해서는 명령 프롬프트를 "관리자 권한으로 실행"하시기 바랍니다.

 

 

이후 Magniber 랜섬웨어 복구툴이 위치한 폴더로 지정(※ 예시 : CD "Magniber 랜섬웨어가 위치한 폴더명")하시기 바랍니다.

 

■ 암호화된 개별 파일 복구 방법

 

Magniber 랜섬웨어에 의해 암호화된 파일 중 사용자가 특정 암호화된 파일만을 복구하는 방법입니다.

 

 

CMD 명령 프롬프트 창에 MagniberDecryptV3 /f "암호화된 파일 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vector)> 방식으로 정보를 입력하시기 바랍니다.

 

MagniberDecryptV3 /f "D:\원본 폴더\원본 사진.bmp.hxzrvhh" /e hxzrvhh /k EsoNSQ0oaSE614v1 /v lEF91UX3DHb1N194

 

정상적으로 값이 입력된 경우 암호화된 파일(.hxzrvhh)이 복호화되어 원본 파일이 생성된 것을 확인할 수 있습니다.

 

■ 특정 폴더 내의 파일 전체를 복구하는 방법

 

Magniber 랜섬웨어에 의해 암호화된 파일을 사용자가 특정 폴더 내에 모두 넣은 후 파일들을 일괄적으로 복구하는 방법입니다.

 

 

CMD 명령 프롬프트 창에 MagniberDecryptV3 /d "암호화된 파일이 존재하는 폴더 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vector)> 방식으로 정보를 입력하시기 바랍니다.

 

MagniberDecryptV3 /d "D:\원본 폴더" /e hxzrvhh /k EsoNSQ0oaSE614v1 /v lEF91UX3DHb1N194

 

 

정상적으로 값이 입력된 경우 암호화된 파일(.hxzrvhh)이 복호화되어 원본 파일이 생성된 것을 확인할 수 있습니다.

 

이번에 공개된 안랩(AhnLab)에서 제공하는 Magniber 랜섬웨어 복구툴은 조만간 랜섬웨어 유포자들이 암호화 키 방식을 바꿀 가능성이 존재하므로 언제까지 유효할지 알 수 없지만 피해를 입은 분들은 공개되는 정보를 참고하여 복구해 보시기 바랍니다.

 

참고로 만약 키(Key), 벡터(Vector) 정보가 공개되지 않아서 복구에 어려움이 있으신 분들은 암호화된 파일의 "수정한 날짜" 정보(파일 암호화가 이루어진 날짜), 암호화된 파일 확장명 정보를 전달해 주시면 랜섬웨어 악성 파일을 찾아서 복구 가능 여부를 검토해 드리도록 하겠습니다.

 

 

마지막으로 Magniber 랜섬웨어 감염 방식에 대한 자세한 내용을 공개한 체크멀(CheckMAL) 블로그 내용을 확인하여 감염되지 않도록 사전에 예방하시기 바랍니다.

 

 Magniber 랜섬웨어(READ_ME.txt)에 의해 암호화된 파일 복구 가능성 확인 (2018.4.7)

 

Magniber 랜섬웨어에 의해 암호화된 파일 중 READ_ME.txt 메시지 파일이 생성되는 일부 변종에 대해서도 복구 가능한 것으로 확인되고 있으므로 관련 랜섬웨어에 암호화된 분들이 있는 경우 암호화된 날짜 및 시간, 암호화된 파일의 확장명을 전달해 주시면 검토해 드리겠습니다.

 

 Magniber 랜섬웨어 벡터(Vector)값 변경에 따른 파일 복구 어려움 예상 (2018.4.9)

 

안랩(AhnLab) 보안 업체에서는 2018년 4월 9일경부터 유포되는 Magniber 랜섬웨어에 의해 파일 암호화될 경우 복구에 필요한 벡터(Vector)값을 동일한 확장명에서도 가변적으로 사용하도록 변경함에 따라 파일 복구가 어렵게 되었으며 현재 추가적인 연구가 이루어지고 있다고 밝히고 있습니다.

 

그러므로 4월 9일경부터 암호화된 피해자에 대한 복구 방법은 현재 빠른 시간 내에 키를 추출하기 어려우므로 암호화된 파일을 따로 백업해 두시기 바랍니다.

 

또한 Magniber 랜섬웨어에 의한 피해를 당하지 않도록 Windows 업데이트를 통해 제공하는 보안 업데이트 및 Adobe Flash Player를 최신 버전으로 유지하시기 바라며, AppCheck 안티랜섬웨어 프로그램을 추가적으로 설치하여 다양한 랜섬웨어 변종에 감염되지 않도록 예방하시기 바랍니다.

 

단, 랜섬웨어 파일만 있다면 키를 찾는데 시간은 다소 걸릴 수 있지만 복구에는 문제가 없는 것으로 확인되고 있습니다.

728x90
반응형