본문 바로가기

벌새::Security

Magniber 랜섬웨어 변종에 의해 암호화된 파일 복구 방법 (2018.4.8)

반응형

2017년 10월 중순경부터 한국어(Korean) 운영 체제 환경에서만 파일 암호화가 진행되는 Magniber 랜섬웨어(Ransomware)는 현재까지 끊임없이 변종을 유포하여 국내에 심각한 피해를 유발하고 있습니다.

 

하지만 안랩(AhnLab) 보안 업체에 의해 Magniber 랜섬웨어의 파일 암호화 약점을 찾아 최근에 복구툴을 공개하여 2018년 3월경부터 암호화된 파일에 대해서는 복구가 가능하도록 지원하고 있습니다.

 

하지만 현재까지 확인된 안랩 복구툴에 의해 복구 가능한 암호화된 파일은 Magniber 랜섬웨어에 의해 생성된 README.txt 메시지 파일이 생성되는 변종에 한하여 가능합니다.

 

하지만 그 이전에 암호화된 파일의 경우에는 현재 공개된 복구툴(MagniberDecryptV3.exe)을 통해서는 한방에 복구되지 않는 문제가 있습니다.

 

 

예를 들어 2018년 1월 17일경 유포된 Magniber 랜섬웨어에 의해 암호화된 경우 .iceitjjo 확장명으로 암호화되며, READ_FOR_DECRYPT.txt 메시지 파일을 생성합니다.

 

 

생성된 메시지 파일에 표시된 주소(URL)값을 기반으로 벡터(Vector)값은 i8qi3H729YU7Yg82 임을 추정할 수 있으며, Magniber 랜섬웨어 악성 파일을 이용하여 분석을 해보면 s528qn9ruSa9M4tY 키(Key)값을 사용한 것을 알 수 있습니다.

 

 

해당 정보를 기반으로 안랩 복구툴을 통해 1차적으로 복호화를 진행하면 정상적으로 파일이 복원되는 것으로 표시됩니다.

 

 

실제로 복호화가 이루어진 폴더를 확인해보면 암호화된 파일마다 복호화가 이루어진 파일이 생성된 것을 볼 수 있습니다.

 

 

하지만 복호화가 이루어진 MS Word 문서(.doc)와 압축 파일(.zip)을 실행해보면 정상적으로 열리지 않는 것을 확인할 수 있으며 실제로는 정상적으로 복호화가 이루어지지 않았음을 알 수 있습니다.

 

 

MS Word 문서 파일(.doc)의 일반적인 파일 구조와 복호화된 파일을 비교해보면 헤더(Header)값 상단(OFFSET 00 ~ 0F)에 불필요한 값이 남아있는 것을 확인할 수 있습니다.

 

 

ZIP 압축 파일(.zip)의 일반적인 파일 구조와 복호화된 파일을 비교해봐도 헤더(Header)의 OFFSET 00 ~ 0F 영역까지 불필요한 값이 남아있는 공통점을 발견할 수 있습니다.

 

안랩(AhnLab) 복구툴을 통해 1차적으로 복호화를 완료한 후에는 열리지 않는 파일이 존재할 경우 파일 헤더(Header) 영역을 사용자가 직접 수정하여 파일이 정상적으로 열리도록 해보겠습니다.

 

파일 헤더(Header) 수정을 위해서는 HxD 프로그램(한글화 지원)을 이용하는 것이 편의성에서 가장 좋을 것 같아서 HxD 설치를 통해 수정하는 방법을 소개해 드리겠습니다.

 

 

HxD 프로그램(한국어 버전)을 다운로드하여 설치를 진행하신 후 프로그램을 실행하시기 바랍니다.

 

 

실행한 HxD 프로그램의 메뉴에서 열기 메뉴를 통해 복호화된 파일 중 열리지 않는 파일을 찾아 오픈하시기 바랍니다.

 

오픈된 파일은 위와 같은 HEX 값으로 표시가 이루어지며, 최상위에 표시된 OFFSET 00 ~ 0F 영역을 마우스로 정확하게 드래그(Drag)하여 선택하시기 바랍니다.

 

 

이후 키보드에서 삭제(DEL) 버튼을 클릭하시면 "이 작업은 파일크기를 변경합니다. 진행하시겠습니까" 메시지가 나오므로 수락하시기 바랍니다.

 

 

변경된 MS Word 문서(.doc) 파일의 헤더는 일반적인 MS Word 문서와 동일한 헤더값을 가지게 된 것을 알 수 있습니다.

 

 

수정이 완료된 후에는 반드시 HxD 프로그램의 저장 버튼을 클릭하여 변경된 값을 저장하신 후 파일을 확인해보면 Magniber 랜섬웨어에 의해 암호화된 파일(.iceitjjo), HxD 프로그램에 의해 수정되기 이전의 안랩에 의해 1차 복호화가 이루어진 파일(.bak), HxD 프로그램에 의해 수정된 최종 파일(.doc)로 구성된 것을 알 수 있습니다.

 

즉 파일을 잘못 수정하여도 백업된 파일(.bak)이 남아있으므로 너무 큰 걱정을 할 필요는 없다는 의미입니다.

 

 

최종 수정된 MS Word 문서(.doc)를 실행해보면 이전과 다르게 정상적으로 파일이 오픈되는 것을 확인할 수 있습니다.

 

 

동일한 방법으로 안랩(AhnLab) 복구툴을 통해 1차적으로 복호화가 이루어진 열리지 않는 ZIP 압축 파일을 HxD 프로그램을 통해 오픈한 후 OFFSET 00 ~ 0F 영역을 선택하여 삭제(Del)를 한 후 저장하시기 바랍니다.

 

 

변경된 ZIP 압축(.zip) 파일의 헤더는 일반적인 ZIP 압축 파일과 동일한 헤더값을 가지게 된 것을 알 수 있습니다.

 

 

수정된 ZIP 압축 파일도 Magniber 랜섬웨어에 의해 암호화된 파일(.iceitjjo), HxD 프로그램에 의해 수정되기 이전의 안랩에 의해 1차 복호화가 이루어진 파일(.bak), HxD 프로그램에 의해 수정된 최종 파일(.zip)로 구성된 것을 알 수 있습니다.

 

 

 

마지막으로 수정된 ZIP 압축 파일을 오픈해보면 정상적으로 압축된 파일을 확인할 수 있으며, 압축 해제도 정상적으로 이루어지는 것을 알 수 있습니다.

 

그러므로 Magniber 랜섬웨어에 의해 암호화된 파일을 1차적으로 안랩(AhnLab) 복구툴을 통해 복호화를 완료한 후 복구되지 않을 경우에는 파일 헤더(Header)값 수정을 통해 정상적으로 열리도록 수정할 수 있으며, 몇 개의 변종을 통해 확인해보면 결과 헤더값만 수정하면 원본과 100% 일치하는 Hash값을 가지는 것을 알 수 있다는 점에서 차후 안랩(AhnLab) 복구툴 업데이트를 통해 자동으로 복구 가능하도록 지원하지 않을까 싶습니다.

728x90
반응형