본문 바로가기

벌새::Software

BitCryptor, CoinVault 랜섬웨어(Ransomware) 암호화 파일 복구툴 : Kaspersky CoinVault Decryptor (2015.10.31)

2015년 4월경 네덜란드 경찰 소속의 The National High Tech Crime Unit (NHTCU)과 Kaspersky 보안 업체의 협력을 통해 CoinVault 랜섬웨어(Ransomware) C&C 서버를 확보하여 암호화된 파일을 복호화할 수 있는 724개의 복구키를 확보한 적이 있었습니다.

이를 통해 Kaspersky 보안 업체에서는 CoinVault Decryption 도구를 통해 AES-128, AES-256 암호화 알고리즘을 사용하는 CoinVault 랜섬웨어(Ransomware)에 의해 암호화된 파일을 무료로 복구할 수 있는 서비스를 제공하였습니다.

 

그 후 2015년 9월경 네덜란드 경찰은 2명의 랜섬웨어(Ransomware) 용의자를 검거하여 이들이 운영하는 서버를 확보하여 14,031개의 복호화 키를 확보하였다는 소식입니다.

이에 따라 Kaspersky Ransomware Decryptor 웹 사이트를 통해 BitCryptor, CoinVault 랜섬웨어(Ransomware) 감염으로 암호화된 파일을 복구할 수 있는 Trojan-Ransom.MSIL.CoinVault decryptor tool 도구(※ 클릭시 파일 다운로드 : CoinVaultDecryptor.zip)를 새롭게 공개하였습니다.

 

"Trojan-Ransom.MSIL.CoinVault decryptor tool" 사용 방법

 

  • 영문 사용 설명서 (PDF) : noransom.kaspersky.com/static/CoinVault-decrypt-howto.pdf

다운로드된 CoinVaultDecryptor.zip 압축 파일을 해제한 후 생성된 CoinVaultDecryptor.exe 파일을 관리자 권한으로 실행하시기 바랍니다.

실행된 도구는 자동 업데이트 체크를 통한 초기화 작업을 진행한 후 다음과 같은 화면을 생성합니다.

"Kaspersky CoinVaultDecryptor (File decryptor tool)" 도구는 BitCryptor, CoinVault 랜섬웨어(Ransomware)에 감염된 PC 환경에서 생성되는 filelist.cvlst 파일이 존재한 경우를 기본 설정값으로 동작하도록 구성되어 있습니다.

 

1. filelist.cvlst 파일이 존재한 환경

filelist.cvlst 파일이 PC에 존재한 경우에는 기본 설정값 그대로 "Start scan" 버튼을 클릭하여 filelist.cvlst 파일을 찾아 "열기" 버튼을 클릭할 경우 자동으로 암호화된 파일을 복구할 수 있습니다.

 

2. filelist.cvlst 파일이 존재하지 않는 환경

 

만약 filelist.cvlst 파일이 존재하지 않는 PC 환경에서는 임의의 폴더를 생성한 후 폴더 내부에 BitCryptor, CoinVault 랜섬웨어(Ransomware)로 암호화된 파일을 생성한 폴더에 모두 이동하시기 바랍니다.(※ 복호화 과정에서 오류가 발생할 수 있으므로 암호화된 파일을 백업해 두시길 권장합니다.)

"Kaspersky CoinVaultDecryptor (File decryptor tool)" 도구의 "Change parameters" 메뉴를 실행하여 "Objects to scan" 설정 항목에서 "Folder with encrypted files" 항목에 체크를 하시기 바랍니다.

설정 후 검사(Start scan)을 시도할 경우 경고(Warning)창이 생성되어 임의의 폴더에 암호화된 파일을 넣은 후 검사를 진행하도록 안내하고 있으므로 "Continue" 버튼을 클릭하시기 바랍니다.

다음 단계에서는 암호화된 파일이 존재하는 임의의 폴더를 직접 지정하시면 검사가 진행되어 자동으로 암호화된 파일이 복호화됩니다.

 

기본적으로 암호화된 파일(○○○.doc)이 복호화된 경우 복호화 파일은 ○○○.decryptedKLR.doc 파일명 형태로 이름을 지정합니다.

 

만약 사용자가 암호화된 파일명 그대로 복호화된 파일명으로 생성되기를 원한다면 "Change parameters" 메뉴를 실행하여 "Additional options" 항목의 "Replace encrypted files with decrypted ones" 항목에 체크한 후 검사를 진행하시기 바랍니다.

 

그러므로 기존에 BitCryptor, CoinVault 2종의 랜섬웨어(Ransomware)에 감염되어 암호화된 사용자는 "Kaspersky CoinVaultDecryptor (File decryptor tool)" 도구를 이용하여 암호화된 파일을 복호화 시도해 보시기 바랍니다.

 

또한 다른 종류의 랜섬웨어(Ransomware) 악성코드에 감염된 경우에도 이번처럼 공격자 서버가 확보되어 복호화 키가 확보될 수 있다는 점에서 암호화된 파일을 일정 기간 외장 하드와 같은 저장 매체에 백업하여 보관해 두시는 것도 현명한 방법입니다.

 

마지막으로 PC를 사용하던 중 랜섬웨어(Ransomware) 악성코드에 감염된 것이 확인되는 즉시 강제로 컴퓨터 전원을 종료한 후 부팅시 안전 모드(네트워킹 사용)로 부팅한 후 파일을 암호화하는 랜섬웨어(Ransomware) 악성 파일을 찾아 제거한 후 정상적으로 부팅하신다면 피해를 최소화할 수 있는 임시 대응책이라고 생각됩니다.

 

 
  • 비밀댓글입니다

    • 여기에서 언급한 랜섬웨어가 아닌 경우에는 시도 자체가 시간 낭비입니다.

      시도한다고 해서 파일이 손상되는 일은 없지만 최근 유포되는 랜섬웨어에는 도움이 되지 않습니다.

    • 2015.11.20 15:45 댓글주소 수정/삭제

      비밀댓글입니다

    • 랜섬웨어로 인해 파일이 암호화되어 열 수 없는 문제를 해결해주는 프로그램은 사실상 없습니다.

      현재 공개된 것은 거의 공개된 후 랜섬웨어 유포자들이 방식을 변경하여 효과를 볼 수 없습니다.

      그러므로 정말 중요한 파일이라면 정해진 기간 안에 돈을 지불하고 복구를 받는 것이 어쩌면 현명한 선택일 수도 있습니다.

      그리고 파일을 암호화하는 랜섬웨어는 일반적인 백신 프로그램으로 다 제거가 가능합니다. 따로 제거하는 도구가 있는건 아닙니다.

    • 2015.11.20 18:09 댓글주소 수정/삭제

      비밀댓글입니다

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 복호화 프로그램이 나오려면 해당 랜섬웨어를 유포한 범죄자가 잡히거나 운영하던 서버가 수사기관에서 압수를 해야 가능할겁니다.

      만약 해당 파일이 매우 중요하다면 돈을 지불하고 파일 암호를 해제하는게 더 나을지도 모릅니다.ㅠㅠ

    • 만약 풀 수 있는 복구키가 존재한다면 손상없이 파일이 이전 상태로 복구될겁니다. 단지 파일이 매우 용량이 큰 경우가 아니라면...

    • 2015.12.05 22:24 댓글주소 수정/삭제

      비밀댓글입니다

    • 2015.12.08 14:38 댓글주소 수정/삭제

      비밀댓글입니다

  • ㅇㅇ 2016.02.12 00:05 댓글주소 수정/삭제 댓글쓰기

    이 툴로 안되는 Crypt0L0cker가 걸린 컴 돌려봤는데요. 이 프로그램으로 스캔을했다는 레지스트리나 이력을 완전히 지우고 싶습니다. 복호화에 방해가 된다고 해서.. 어디로 들어가서 지워야 하나요?

    • 복호화에 방해가 된다는 말은 금시초문입니다.

      단지 삭제를 원하신다면 레지스트리 편집기에서 kaspersky로 검색해서 삭제하시고 파일은 아마도 임시 폴더쪽에 있지 않을까 싶습니다.