울지않는벌새 : Security, Movie & Society

CoinVault 랜섬웨어(Ransomware) 파일 복구툴 : CoinVault Decryption

벌새::Software

2014년 11월경에 보고된 CoinVault 랜섬웨어(Ransomware)는 AES-256 암호화 알고리즘을 이용하여 다수의 파일을 암호화 처리한 후 비트코인(Bitcoin) 가상 화폐로 결제를 요구하는 악성코드(※ Kaspersky : Trojan-Ransom.Win32.Crypmodadv.cj, AhnLab V3 : Trojan/Win32.Cryptolocker)입니다.

해당 랜섬웨어(Ransomware)는 감염자의 PC 환경을 체크하여 분석 환경(Wireshark, Sandboxie, Winsock Packet Editor) 및 가상 환경(VMware, Oracle VM VirtualBox)인 경우 설치를 하지 않도록 제작되어 있으며 Microsoft .NET Framework 기반으로 제작되어 있다고 합니다.

 

이후 네덜란드 경찰 소속의 The National High Tech Crime Unit(NHTCU)와 Kaspersky Lab 보안 업체의 협력을 통해 CoinVault 랜섬웨어(Ransomware)을 운영하는 C&C 서버를 압수하여 확보된 IVs, Keys, Private Bitcoin wallets 정보를 확보하였습니다.

 

이를 통해 2015년 4월 중순경 Kaspersky 보안 업체에서는 CoinVault 랜섬웨어(Ransomware) 분석을 통한 암호화 알고리즘 및 Block Ciper Mode 정보 등을 추가 확인하여 암호화된 파일을 복구할 수 있는 "CoinVault Decryption" 툴을 공개하였습니다.

 

CoinVault 랜섬웨어(Ransomware)로 암호화된 파일 복구 방법

 

(1) 감염된 시스템에서 표시하는 CoinVault 랜섬웨어(Ransomware)에서 제시하는 비트코인(Bitcoin) 주소를 복사(Copy)하시기 바랍니다.

 

(2) CoinVault 랜섬웨어(Ransomware)에서 제시하는 암호화된 파일 목록(View encrypted filelist)을 파일로 저장하시기 바랍니다.

 

(3) 보안 제품을 이용하여 CoinVault 랜섬웨어(Ransomware) 악성코드를 제거하시기 바랍니다.

(4) Kaspersky Lab 보안 업체에서 제공하는 "RANSOMWARE EDCRYPTOR" 웹 사이트(noransom.kaspersky.com)를 방문하여 (1)번 항목에서 기록한 비트코인(Bitcoin) 주소를 입력하시기 바랍니다.

 

만약 C&C 서버 확보를 통해 수집된 비트코인(Bitcoin) 주소인 경우에는 IV(Initialisation Vector), Key 값을 제시하며 이를 기록해 두시기 바랍니다.

 

(5) Kaspersky Lab 보안 업체에서 제공하는 "CoinVault Decryption" 툴(kaspersky-coinvault-decryptor.exe)을 다운로드하여 실행하시기 바라며, 정상적으로 실행되기 위해서는 "Microsoft .NET Framework 4.5.1" 버전이 설치되어 있어야 합니다.

  • Overwrite encrypted file with decrypted contens : 복호화된 파일을 암호화된 파일에 덮어쓰기
  • Selected Encrypted File List : (2)번 항목에서 저장된 암호화된 파일 목록
  • Single File Decryption : 암호화된 파일 선택(개별)
  • Enter your IV : (4)번 항목에서 제시하는 IV값
  • Enter your key : (4)번 항목에서 제시하는 key값

(6) 실행된 "CoinVault Decryption by Kaspersky Lab" 툴에서 제시하는 각 정보를 입력한 후 Start 버튼을 클릭하면 파일 복구가 이루어지며 Kaspersky 보안 업체에서는 1개의 비트코인(Bitcoin) 주소에는 다수의 IV, Key값이 존재하므로 100% 복구가 이루어진다는 보장이 없다고 밝히고 있습니다.

 

또한 현재 CoinVault 랜섬웨어(Ransomware)를 운영하는 C&C 서버를 통해 확보된 복호화 키를 이용하여 파일 복구가 이루어지는 방식이므로 다양한 변종에 의한 암호화된 파일은 복구할 수 없음을 명심하시기 바랍니다.