울지않는벌새 : Security, Movie & Society

Cryptolocker 랜섬웨어(Ransomware)로 암호화된 파일 무료 복구 서비스

벌새::Security

2013년 9월 6일경 해외에서 최초 보고된 Cryptolocker 랜섬웨어(Ransomware)는 사용자의 PC에 존재하는 특정 파일(MS Office 문서, 사진, 비디오 등)을 대상으로 암호화한 후 일정 시간 내에 돈을 지불하지 않으면 영원히 파일을 해제할 수 없도록 하는 악성코드로 주목을 받게 되었습니다.

대표적인 유포 방식은 정상적인 메일처럼 위장한 스팸(Spam) 메일에 첨부된 파일을 실행할 경우 P2P 방식의 제우스(ZeuS, Gameover ZeuS) 악성코드 또는 취약점(Exploit) 방식을 통해 감염이 이루어지는 것으로 알려져 있습니다.

출처 : Malwarebytes UNPACKED 블로그(http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/)

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c 등 변종에 따라 다를 수 있습니다.

감염이 이루어진 환경에서는 PC에 존재하는 파일 확장자명을 기준으로 문서, 사진 등 중요한 개인 파일을 RSA-2048 / RSA-4096 암호화 방식의 Public Key(암호화 키)를 생성하여 암호화 처리합니다.

이를 통해 바탕 화면에 그림과 같은 붉은색 경고창을 생성하여 정해진 특정 시간(일반적으로 72시간) 내에 돈을 지불하지 않을 경우 파일 복구를 위한 Private Key(복호화 키)를 삭제한다고 협박을 하게 됩니다.

지불을 위해서는 달러($), 유로(€), 가상 화폐(Bitcoin) 방식으로 특정 계좌에 입금하도록 하고 있으며, 실제 돈(40만원 상당)을 지불하여도 Private Key(복호화 키)를 이메일을 통해 제공한다는 보장은 없습니다.

 

위와 같은 일련의 사이버 범죄가 전 세계적으로 점점 위협이 되고 현재의 기술로는 Private Key(복호화 키)가 없는 경우 암호화된 파일을 완벽하게 복구할 수 없는 문제로 인해 2014년 5월경부터 "Operation Tovar"라는 국제 공조를 통해 Gameover 서버를 다운시키면서 500,000 ~ 1,000,000대의 감염을 유발한 것으로 보이는 최대 규모의 Cryptolocker 랜섬웨어(Ransomware)는 기세가 죽인 상태입니다.

"Operation Tovar" 작전을 통해 사이버 범죄자들이 사용하던 서버에서 획득한 Private Key(복호화 키)를 이용하여 미국에 위치한 APT 전문 보안 업체 FireEye와 네덜란드에 위치한 Fox-IT 업체가 공동으로 Cryptolocker 랜섬웨어(Ransomware)로 암호화된 파일을 무료로 복구할 수 있는 웹 포털 서비스(decryptcryptolocker.com)를 공개했습니다.

해당 웹 서비스의 이용 방식은 Cryptolocker 랜섬웨어(Ransomware)로 암호화된 파일 하나를 선택하여 이메일 주소와 함께 업로드를 하면 분석을 통해 파일 복구에 필요한 Private Key(복호화 키)와 복구툴(Decryptolocker.exe)을 제공받을 수 있습니다.(※ 암호화된 파일 업로드시 민감한 정보가 포함된 파일은 업로드하지 마시기 바랍니다.)

  1. 이메일에서 제공하는 다운로드 링크를 통해 복구툴(Decryptolocker.exe)을 다운로드하시기 바랍니다.
  2. 다운로드된 Decryptolocker.exe 파일이 위치한 폴더에 복구할 파일을 함께 위치시킵니다.
  3. 명령 프롬프트(CMD)를 실행하여 다음의 명령어를 입력하시기 바랍니다. : Decryptolocker.exe -key "(이메일을 통해 받은 Private Key)" (암호화된 파일)

위와 같은 일련의 절차에 따라 암호화된 파일을 복구할 수 있으며, 더 세부적인 복구 방식을 원하는 경우에는 FireEye에서 제공하는 "FAQ : How can I use the Decryptolocker.exe tool?" 내용을 참고하시기 바랍니다.

 

참고로 해당 복구 방식은 사전에 범죄자들이 저장하고 있던 Private Key(복호화 키)를 확보해서 파일 복구가 가능하므로 만약 변종 또는 확보되지 않은 Private Key(복호화 키)가 필요한 경우에는 파일 복구가 불가능한 형태입니다.

 

또한 규모는 아직 작지만 유사한 형태의 CryptoWall, CryptoDefense, OnionLocker 변종 랜섬웨어(Ransomware)가 유포되고 있으므로, 악성코드 감염으로부터 중요한 파일이 암호화되는 사이버 범죄로부터 데이터를 보호하기 위해서는 사용자의 각별한 주의가 필요하겠습니다.