본문 바로가기

벌새::Software

CryptXXX 랜섬웨어(Ransomware) 복호화 도구 : Kaspersky RannohDecryptor

2016년 4월 중순경부터 보안 패치가 제대로 적용되지 않은 PC 환경에서 웹사이트 접속 과정에서 Angler Exploit Kit을 통한 CryptXXX 랜섬웨어(Ransomware) 유포가 이루어지기 시작하였으며, 특히 기존 랜섬웨어와는 다르게 EXE 실행 파일이 아닌 DLL 파일을 통한 파일 암호화 행위를 수행하는 특징을 가지고 있습니다.

 

CryptXXX 랜섬웨어에 감염된 경우 다음과 같은 폴더 위치에 악성 DLL 파일을 생성하여 변종에 따라 다르지만 일정한 시간이 경과할 경우 파일 암호화를 수행한 후 자신을 스스로 삭제하여 흔적을 제거합니다.

  • C:\Users\(로그인 계정명)\AppData\Local\Temp\{0DAB9~1}\wshelper62.dll
  • C:\Users\(로그인 계정명)\AppData\Local\Temp\{1BCA7~1}\api-ms-win-system-p2pcollab-l1-1-0.dll
  • C:\Users\(로그인 계정명)\AppData\Local\Temp\{49FE4~1}\api-ms-win-system-Wldap32-l1-1-0.dll
  • C:\Users\(로그인 계정명)\AppData\Local\Temp\{C4D51~1}\clfsw32fix.dll

임시 폴더 영역에 생성된 랜덤(Random)한 CLSID 폴더명과 파일명으로 추가된 악성 DLL 파일은 "C:\Windows\System32\rundll32.exe" 시스템 파일(Windows 호스트 프로세스(Rundll32))을 통해 동작합니다. 

정상적으로 암호화 행위가 진행될 경우 .crypt 파일 확장명으로 변경되며, 각 폴더에는 "de_crypt_readme.bmp / de_crypt_readme.html / de_crypt_readme.txt" 랜섬웨어 결제 안내 파일을 생성합니다. 

웹 브라우저를 통해 자동으로 오픈되는 웹페이지는 "C:\ProgramData\Microsoft\User Account Pictures\de_crypt_readme.html" 파일을 활용하고 있습니다. 

또한 바탕 화면 배경 화면은 "C:\ProgramData\Microsoft\User Account Pictures\de_crypt_readme.bmp" 파일로 변경하여 랜섬웨어 결제 안내를 표시합니다.

 

위와 같이 CryptXXX 랜섬웨어에 의해 암호화된 파일을 Kaspersky 보안 업체에서 복호화할 수 있는 Kaspersky RannohDecryptor 도구를 공개하였으며 실제 사용 방법에 대해 살펴보도록 하겠습니다. 

Kaspersky RannohDecryptor 도구는 Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.CryptXXX 진단명의 랜섬웨어에 대한 복호화 기능을 제공한다고 밝히고 있습니다. 

Kaspersky RannohDecryptor 도구를 사용하기 위해서는 암호화된 파일 중 원본 파일 1개는 반드시 확보한 상태에서 진행되므로 사전에 파일을 준비하셔야 합니다. 

옵션(Change parameters)에서는 검사 영역(Objects to scan) 지정과 복호화 후 암호화된 파일 삭제 옵션이 존재합니다. 

"Start scan" 버튼을 클릭하면 "Specify the path to encrypted file" 창이 생성되며, 사용자는 원본 파일이 확보된 1개의 암호화된 파일을 선택하시기 바랍니다. 

다음 메시지에서는 복호화 키 추출을 위해 앞서 선택한 암호화된 파일의 원본 파일을 선택하라는 내용이므로 "Continue" 버튼을 클릭하시기 바랍니다.(※ 일반적으로 Windows 운영 체제에 기본적으로 존재하는 라이브러리 그림 파일은 다른 PC에서 원본 파일을 구할 수 있습니다.) 

이후 생성된 "Specify the path to original file" 창에서 원본 파일을 선택하시면 자동으로 검사가 진행됩니다. 

모든 검사가 완료된 후 결과를 확인해보면 108개의 암호화된 파일(.crypt) 중 50개 파일이 복호화에 성공하였다는 내용이 표시되며, 세부적인 정보를 확인하기 위해서는 details 버튼을 클릭하시기 바랍니다. 

검사 결과에서는 성공한 파일(Decrypted)와 실패한 파일(Processing error)을 확인할 수 있으며, 테스트에서는 일반적으로 문서 파일은 복호화에 성공하지만 사진 등의 파일은 반복적으로 진행하여도 복호화되지 않았습니다.

 

또한 복호화 도구가 공개될 경우 랜섬웨어 제작자는 취약한 암호화 방식을 개선할 가능성이 있으며, 이로 인하여 차후 등장할 CryptXXX 랜섬웨어의 암호화는 현재의 복호화 도구로 해결되지 않을 수도 있습니다.

 

현재 체크멀(CheckMAL) 보안 업체에서 제공하는 AppCheck 안티랜섬웨어 제품은 CryptXXX 랜섬웨어 초기 유포부터 파일 암호화 행위를 효과적으로 차단 및 일부 훼손된 파일을 자동 복원하고 있었음을 확인할 수 있습니다.

 

  • 랜섬웨어 2016.05.07 22:05 댓글주소 수정/삭제 댓글쓰기

    cryptxxx 복구법 찾다 문의드립니다
    락이 안걸린 원본파일이 필요하다고 하셨는데..
    그런 원본파일이 있으면 복구를 할 필요가 없는 것 아닌가요?..

    현재 제 폴더는 원본파일이 아무것도 없어서 문의드립니다

    • 암호화된 파일 중 윈도우에 기본적으로 존재하는 문서, 사진 파일의 경우에는 다른 컴퓨터에서 원본 파일을 찾을 수 있다는 의미입니다.

      현재 공개된 복구 방식은 원본 파일 1개는 사용자가 어떻게 하든지 구해야 복원이 가능한 구조입니다.

  • 복구방법 2016.05.08 01:36 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 컴퓨터 파일이 갑자기 .crypt 파일로 바뀌어서 인터넷 찾던도중 블로그 보고 문의드립니다.
    얼마전에 이력서 넣은 원본파일이 메일에 있어서 그 파일 다시 다운받고 하려고 하는데
    암호걸린 파일과 원본 파일의 크기가 달라서 진행이 안된다고 뜨는군요
    보니까 파일 크기가 아주 미세하게 다릅니다. 암호 걸린 파일이 아주 조금 더 크더라구요
    윈도우에 기본적으로 존재하는 사진파일은 암호가 안걸렸고..이 경우 어떻게 해결해야 할까요 ㅠㅠㅠ

    • 원본 파일과 다르게 암호화가 되면 파일 크기가 달라집니다. 혹시 파일명이 서로 달라서 그런게 아닌지 확인해 보시기 바랍니다.

    • 복구방법 2016.05.08 01:47 댓글주소 수정/삭제

      파일명은 똑같습니다
      다만 암호가 걸린 파일은 .crypt 확장자만 붙어있을 뿐이구요..
      암호 파일은 309,044,372 바이트
      원본 파일은 309,044,112 바이트 인데
      아무리 시도해도 진행이 안되네요 ㅠㅠ
      이 파일 말고 다른 파일로 시도해봤는데 같은 결과입니다
      Encrypted file size does not equal to original
      이라고 나오네요 ㅠㅠ

    • 당연히 암호화가 이루어지면 파일 내용이 달라져서 파일 크기가 다를텐데 이상하군요. 저도 나중에 다시 확인해 봐야겠습니다. 테스트에서는 그런 메시지를 못봤는데.

    • 그리고 다른 하나는 복호화 방식이 공개되어서 랜섬웨어가 암호화 방식을 변경했을 수도 있을 듯 합니다.

    • 복구방법 2016.05.08 01:54 댓글주소 수정/삭제

      아 그렇군요 ㅠㅠㅠ
      답변 감사합니다
      아무래도 그만 포기하고 포맷을 해야할까봐요
      혹시 모르니까 중요 파일 몇개는 옮겨둬야 겠네요
      정말 감사합니다

    • 추가적으로 확인해보니 암호화된 파일도 파일 크기는 변하지 않는 것으로 확인됩니다.

      세부적으로 Hash값은 달라지지만 숫자로 표시되는 파일 크기 자체는 변하지 않습니다.

      아마 선택할 파일을 다른걸로 찾으셔야 할 듯 합니다.

  • 비밀댓글입니다

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 최근 유포된 샘플로 확인해봐도 정상적으로 진행되는걸 봐서는 사용자가 선택한 원본 파일의 경우 암호화된 파일의 실제 원본과 다른게 아닐까 싶습니다.

  • 랜섬웨어 2016.05.08 13:23 댓글주소 수정/삭제 댓글쓰기

    벌새님이 찾아주신 내용을 토대로 같은 파일들을 4개 찾아내서 복구툴을 돌려봤는데
    모두 용량이 아주 작게 달라져있고(암호화된 파일이 원본보다 아주 조금 큽니다)
    이 때문에 Encrypted file size does not equal to original 메세지가 출력되며 복구가 되지 않습니다 ㅠㅠ

    파일 4개 중 한개는 개인적으로 써둔 메모 파일이라 용량이 다를 수 있다고 생각했는데
    나머지 3개는 그래픽카드의 리드미 파일/ 포토샵의 리드미 파일 같은
    제가 건드릴 일 없는 파일들이라
    용량이 바뀐 것이 이해가 가지 않습니다

    혹시 이 문제에 대해 조언을 주실 수 있을까요?

    • 해당 복구툴에 대한 자세한 사용법을 확인해보니 이런 내용이 있습니다.

      If the file is encrypted by Trojan-Ransom.Win32.CryptXXX, indicate the largest files. Only the files of this size or smaller ones will be decrypted.

      즉 사용자가 복호화를 위해 선택한 1개의 원본 파일의 파일 크기를 고려하여 해당 파일보다 작은 파일만 복호화된다고 언급하고 있습니다.

      그러므로 복호화하실 때 파일 크기가 더 큰 원본 파일과 암호화된 파일을 이용해 보시기 바랍니다.

  • ★ 벌새 추가 정보 ★

    RannohDecryptor 복호화 도구 이용 중 에러가 발생하는 경우에는 http://hummingbird.tistory.com/6355 내용을 참고하시기 바랍니다.