2017년 10월 중순경부터 한국어 운영 체제에서만 파일 암호화 행위가 이루어지는 Magniber 랜섬웨어(Ransomware)는 보안 패치가 제대로 이루어지지 않은 PC 환경에서 웹 사이트 접속 시 취약점(Exploit)을 통해 자동 감염되는 방식으로 현재까지 꾸준하게 유포되고 있습니다.

 

 

그런데 안랩(AhnLab) 보안 업체에서 최근 유포되는 Magniber 랜섬웨어의 암호화 방식의 약점을 확인하여 무료로 복구할 수 있는 복구툴을 공개하였습니다.

 

단지 기존에 유포된 Magniber 랜섬웨어 중 "_HOW_TO_DECRYPT_MY_FILES_<Random>_.txt, READ_ME_FOR_DECRYPT_<Random>_.txt, READ_ME_FOR_DECRYPT.txt, READ_FOR_DECRYPT.txt" 메시지 파일을 생성하였던 변종은 복구를 할 수 없으며, 최근에 파일 암호화 후 생성되는 READ_ME.txt, README.txt 메시지 파일이 생성되는 경우에만 복구가 가능합니다.

 

안랩(AhnLab)에서 공개한 정보를 참고해보면 파일 복구를 위해서는 반드시 키(Key)값과 벡터(Vector)값을 사용자가 알고 있어야 합니다.

 

 

기본적으로 벡터(Vector)값은 Magniber 랜섬웨어 감염으로 생성된 README.txt 파일에 표시된 URL 주소의 뒷자리 값으로 사용자가 쉽게 확인할 수 있습니다.

 

하지만 사용자는 기본적으로 암호화된 파일 확장명과 벡터값만 확인이 가능하며, 암호화에 사용된 공개키 정보는 알 수 없기에 안랩(AhnLab) 블로그에서는 지속적으로 복구 가능한 확장명을 기준으로 키 정보를 공개할 예정이라고 합니다.

 

이에 안랩(AhnLab)에서 공개한 Magniber 랜섬웨어 복구툴을 이용하여 현재 공개되지 않은 다른 변종 파일에 의해 암호화된 파일이 복구 가능한지 확인해 보도록 하겠습니다.

 

 

2018년 4월 2일경에 유포된 Magniber 랜섬웨어 변종에 의해 암호화된 파일은 .hxzrvhh 확장명으로 암호화가 이루어졌습니다.

 

유포 날짜

메시지 파일명

암호화된

파일 확장명

키(Key)

벡터(Vector)

11월 8일

(복구 정보)

READ_ME_FOR_DECRYPT.txt

.madrcby

E897q5ym6cN4g2iE

b73lY4SygK8SmOw8

1월 17일

(복구 정보)

READ_FOR_DECRYPT.txt

.iceitjjo

s528qn9ruSa9M4tY

i8qi3H729YU7Yg82

3월 1일

READ_ME.txt

.errdpty

WBg1ei772y256459

Ax1149q0PObc9xT3

3월 11일

READ_ME.txt

.qbzzaflts

m4PHtC0FAD8Rd13J

ze1I2xA25x0390T8

3월 24일

README.txt

.uqpupoubk

n0234ou8dG2852Y3

m67a2Cq9Wgxm3J9L

3월 29일

README.txt

.zuqpqkz

MexXih15d326BEG7

e1hR8O67aT39006b

3월 29일

README.txt

.qtbwzam

GVgX3hd0i8248Xn9

RhpL7f0yM4447Yr9

3월 30일

README.txt

.vrwmlmbpk

i2700c80Mh2Dy5Hs

gz4790A6X62633ZR

3월 31일

README.txt

.xxzbrah

zTLBP5mJvj5U13n3

EBW2TOs0n93TFYE6

4월 1일

README.txt

.ezjasdu

Tn6253SfxZaheR41

D7R66y1724z89M2l

4월 1일

README.txt

.ctffcqen

s8K86k5Q6n7R06L9

K06296slW865E063

4월 1일

README.txt

.varulgaej

E8dO5A041a5D48o8

N4561H6O19SK0YV0

4월 2일

README.txt

.hxzrvhh

EsoNSQ0oaSE614v1

lEF91UX3DHb1N194

4월 2일

README.txt

.vcjxopq

RA34I1F35XY29x10

tS3Fd3IfJKSw7918

4월 3일

README.txt

.gcwssbfuw

B4484pQ2w3y6Icq6

X0x117b1Um535FD8

4월 3일

README.txt

.jxrhgat

CZH7Fy6Q537ycWX3

R9Ltm45J2oVk7ciZ

4월 3일

README.txt

.qgsxyzidg

g5eIdGlVqO9s1Naj

Nu4996t2h6m7K3bx

4월 3일

README.txt

.jozncdx

cPlE6aA609HJKmfH

GQ7682r13624LE1c

4월 3일

README.txt

.uipdyyfsg

yT0iVg38r9E4ksYZ

jb6Q72q32Gd5G7M1

4월 3일

README.txt

.fhpjvusz

Ux4ZsI528bbFYa3I

XB9z02e1nvz09k9y

4월 4일

README.txt

.wqtmfil

EL76Wn6uIRI73Yfj

TE515HQ571it4f04

4월 4일

README.txt

.veidrssph

G8DPM9P4Qy3259e7

j6IGQx4k52C7Tc2I

4월 5일

README.txt

.ddvzdmh

is45bpE4yVN50Ah4

jq6l9N5QxJG6O61F

4월 5일

README.txt

.ptqzmpr

NK57S333676TR452

WB7Nd859MS90Q017

4월 5일

README.txt

.piouqjwhh

i1438z9Vf3G7oECJ

m5T03C6u8GEd10A4

4월 5일

README.txt

.ywxhyjp

MWdYs0RT9ga0460X

SCB3337m5450g8s2

 

Magniber 랜섬웨어 복구툴을 임의의 폴더에 다운로드한 후 실행을 위해서는 명령 프롬프트를 "관리자 권한으로 실행"하시기 바랍니다.

 

 

이후 Magniber 랜섬웨어 복구툴이 위치한 폴더로 지정(※ 예시 : CD "Magniber 랜섬웨어가 위치한 폴더명")하시기 바랍니다.

 

■ 암호화된 개별 파일 복구 방법

 

Magniber 랜섬웨어에 의해 암호화된 파일 중 사용자가 특정 암호화된 파일만을 복구하는 방법입니다.

 

 

CMD 명령 프롬프트 창에 MagniberDecryptV3 /f "암호화된 파일 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vector)> 방식으로 정보를 입력하시기 바랍니다.

 

MagniberDecryptV3 /f "D:\원본 폴더\원본 사진.bmp.hxzrvhh" /e hxzrvhh /k EsoNSQ0oaSE614v1 /v lEF91UX3DHb1N194

 

정상적으로 값이 입력된 경우 암호화된 파일(.hxzrvhh)이 복호화되어 원본 파일이 생성된 것을 확인할 수 있습니다.

 

■ 특정 폴더 내의 파일 전체를 복구하는 방법

 

Magniber 랜섬웨어에 의해 암호화된 파일을 사용자가 특정 폴더 내에 모두 넣은 후 파일들을 일괄적으로 복구하는 방법입니다.

 

 

CMD 명령 프롬프트 창에 MagniberDecryptV3 /d "암호화된 파일이 존재하는 폴더 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vector)> 방식으로 정보를 입력하시기 바랍니다.

 

MagniberDecryptV3 /d "D:\원본 폴더" /e hxzrvhh /k EsoNSQ0oaSE614v1 /v lEF91UX3DHb1N194

 

 

정상적으로 값이 입력된 경우 암호화된 파일(.hxzrvhh)이 복호화되어 원본 파일이 생성된 것을 확인할 수 있습니다.

 

이번에 공개된 안랩(AhnLab)에서 제공하는 Magniber 랜섬웨어 복구툴은 조만간 랜섬웨어 유포자들이 암호화 키 방식을 바꿀 가능성이 존재하므로 언제까지 유효할지 알 수 없지만 피해를 입은 분들은 공개되는 정보를 참고하여 복구해 보시기 바랍니다.

 

참고로 만약 키(Key), 벡터(Vector) 정보가 공개되지 않아서 복구에 어려움이 있으신 분들은 암호화된 파일의 "수정한 날짜" 정보(파일 암호화가 이루어진 날짜), 암호화된 파일 확장명 정보를 전달해 주시면 랜섬웨어 악성 파일을 찾아서 복구 가능 여부를 검토해 드리도록 하겠습니다.

 

 

마지막으로 Magniber 랜섬웨어 감염 방식에 대한 자세한 내용을 공개한 체크멀(CheckMAL) 블로그 내용을 확인하여 감염되지 않도록 사전에 예방하시기 바랍니다.


 Magniber 랜섬웨어(READ_ME.txt)에 의해 암호화된 파일 복구 가능성 확인 (2018.4.7)


Magniber 랜섬웨어에 의해 암호화된 파일 중 READ_ME.txt 메시지 파일이 생성되는 일부 변종에 대해서도 복구 가능한 것으로 확인되고 있으므로 관련 랜섬웨어에 암호화된 분들이 있는 경우 암호화된 날짜 및 시간, 암호화된 파일의 확장명을 전달해 주시면 검토해 드리겠습니다.


 Magniber 랜섬웨어 벡터(Vector)값 변경에 따른 파일 복구 어려움 예상 (2018.4.9)



안랩(AhnLab) 보안 업체에서는 2018년 4월 9일경부터 유포되는 Magniber 랜섬웨어에 의해 파일 암호화될 경우 복구에 필요한 벡터(Vector)값을 동일한 확장명에서도 가변적으로 사용하도록 변경함에 따라 파일 복구가 어렵게 되었으며 현재 추가적인 연구가 이루어지고 있다고 밝히고 있습니다.


그러므로 4월 9일경부터 암호화된 피해자에 대한 복구 방법은 현재 빠른 시간 내에 키를 추출하기 어려우므로 암호화된 파일을 따로 백업해 두시기 바랍니다.


또한 Magniber 랜섬웨어에 의한 피해를 당하지 않도록 Windows 업데이트를 통해 제공하는 보안 업데이트 및 Adobe Flash Player를 최신 버전으로 유지하시기 바라며, AppCheck 안티랜섬웨어 프로그램을 추가적으로 설치하여 다양한 랜섬웨어 변종에 감염되지 않도록 예방하시기 바랍니다.


단, 랜섬웨어 파일만 있다면 키를 찾는데 시간은 다소 걸릴 수 있지만 복구에는 문제가 없는 것으로 확인되고 있습니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..