본문 바로가기

벌새::Software

CryptXXX 랜섬웨어(Ransomware)로 암호화된 파일 완벽 복구 방법 (2016.5.8)

최근 보안 패치를 제대로 하지 않은 상태로 웹사이트를 방문하는 과정에서 취약점(Exploit)을 통해 자동 감염되는 CryptXXX 랜섬웨어(Ransomware)에 피해를 당하는 사용자가 증가하는 것 같습니다.

 

다행히 Kaspersky 보안 업체에서 Kaspersky RannohDecryptor 복호화 도구를 통해 CryptXXX 랜섬웨어로 암호화된 .crypt 파일에 대한 방법을 제공하고 있지만, 사용 과정에서 발생할 수 있는 조건을 제대로 소개글에 언급하지 않아서 이용을 하지 못하는 문의가 다수 들어와서 추가적으로 확인을 해 보았습니다.

 

(1) CryptXXX 랜섬웨어로 암호화된 파일(.crypt)을 Kaspersky RannohDecryptor 복호화 도구를 이용하여 이전 상태로 복원하기 위해서는 반드시 암호화된 파일과 동일한 원본 파일을 1개는 찾아서 가지고 있어야 합니다.

 

 

(2) 복호화 과정에서 "Encrypted file size does not equal to original" 에러 메시지가 발생하는 경우는 사용자가 준비한 원본 파일이 실제 암호화된 파일의 원본이 아니기 때문입니다.

 

예를 들어 원본 파일과 암호화된 파일의 파일 크기를 모두 비교해보면 바이트(Byte)상으로는 동일하며, Hash값은 당연히 암호화로 인하여 변경되는 것을 알 수 있습니다.

 

그러므로 복호화 과정에서 파일 사이즈가 일치하지 않는다는 메시지가 나오는 경우에는 실제 일치하는 원본 파일이 아니라는 의미이므로 다른 파일을 찾으셔야 합니다.

 

 

(3) 복호화에 필요한 1개의 파일 선택 과정에서 반드시 파일 크기가 "8,192 Bytes ~ 4 GB" 조건에 부합해야 합니다.

 

(4) Kaspersky RannohDecryptor 복호화 도구를 통해 암호 해제가 이루어지는 파일은 사용자가 선택한 1개의 파일 사이즈와 동일하거나 이하인 경우에만 가능하므로, 최초 1개의 파일 선택 시 최대한 파일 용량이 높은 것을 선택하셔야 더 많은 파일 해제가 가능합니다.

 

 

실제 테스트에서 암호화된 파일 1개 선택 시 파일 크기가 가장 높은 파일을 선택하고, 해당 파일의 원본 파일을 추가하여 복호화를 진행해 보았습니다.

 

 

이전 소개글에서는 일부 파일만 해제되는 결과를 보인 것과 달리 사용자가 선택한 파일 크기보다 작은 암호화된 파일 일체가 모두 해제된 것을 확인할 수 있습니다.

 

그러므로 CryptXXX 랜섬웨어(Ransomware) 감염으로 인하여 Kaspersky RannohDecryptor 복호화 도구를 사용하실 때에는 반드시 최초 1개의 암호화된 파일과 해당 파일의 원본 파일을 선택할 때 파일 크기가 큰 것을 선택하시기 바랍니다.

 

또한 Kaspersky RannohDecryptor 복호화 도구와 같이 원본 파일을 요구하는 조건이 있을 수 있다는 점에서 어느때보다도 백업(Backup)의 중요성이 강조되므로 AppCheck Pro 안티랜섬웨어에서 제공하는 자동 백업 기능처럼 랜섬웨어(Ransomware) 감염 시에도 백업 파일은 안전하게 보호할 수 있는 솔루션을 추가로 운영하시는 것을 가장 추천해 드립니다.

 

 CryptXXX 랜섬웨어(Ransomware) 변종 정보 (2016.5.10)

 

2016년 5월 첫 번째 주말경부터 유포된 CryptXXX 랜섬웨어(Ransomware)는 Kaspersky RannohDecryptor 복호화 도구를 통해 암호화된 파일을 복원할 수 없는 것으로 확인되고 있습니다.

 

 

실제 최근 감염된 사례의 경우 암호화된 .crypt 파일은 원본 파일과 비교하여 260 바이트(Bytes) 증가한 것을 알 수 있으며, 이로 인하여 Kaspersky RannohDecryptor 복호화 도구의 조건인 원본 파일과 암호화된 파일의 크기가 반드시 일치해야 한다는 조건에 맞지 않습니다.

"CommandLine":"C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\svchost.exe C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\FB73.tmp.dll,MS112"

참고로 암호화를 수행하는 방식 역시 기존의 rundll32.exe 시스템 파일이 아니라 임시 폴더에 rundll32.exe (= svchost.exe) 파일을 복사하여 진행하는 것으로 보입니다.

 

그러므로 CryptXXX 랜섬웨어 감염으로 Kaspersky RannohDecryptor 복호화 도구 사용 시 파일 크기가 맞지 않는다고 에러가 발생하는 경우에는 현재로서는 복구할 수 있는 방법이 없는 것으로 판단됩니다.

  • 이전 댓글 더보기
  • 비밀댓글입니다

  • 랜섬웨어 2016.05.08 22:24 댓글주소 수정/삭제 댓글쓰기

    원본파일을 6개째 찾았는데..
    모두 원본과 암호화된 파일의 용량이 달라 진행이 되지 않고 있습니다 ㅠㅜ
    이쯤되면 아무래도 변종인 것 같네요... 휴 ㅠㅜ

  • 포스팅 감사합니다 2016.05.08 23:09 댓글주소 수정/삭제 댓글쓰기

    파일 크기가 미세하게 다 다르네요;; 분명 같은 원본 파일인데 정말 미세하게 102, 202 뭐 이렇게ㅠㅠ
    파일 크기를 최대한 큰 걸로 하라고 하셨는데 큰 것들이 다 그럽니다. 작은 건 맞는지도 확인을 해 봐야 겠지만...
    작은 용량으로 맞는 걸 시도해보고, 성공시 다른 큰 걸로 2회차 시도를 해 볼 수 있을까요? 한 번 복구를 하고 나면 다시는 손댈 수 없는 것인지 궁금합니다. 미치겠네요...

  • 아무래도 변종이 벌써 생긴 것 같습니다..
    지인 컴퓨터 중에 증상이 의심되어 직접 방문하여 확인했고, 메일, 휴대폰, 카톡, 등에 있던 원본파일들을 이용해 rannohdecryptor에 넣어보았지만 모두 파일 크기가 원본과 다르다고..
    아무래도 원본과 파일 크기가 다르게 만들어 이 프로그램을 피하도록 개량해서 만든 것 같군요..

    모두 size on disk(디스크 할당 크기)는 같은데 size(크기)가 다릅니다.

  • 비밀댓글입니다

    • Kaspersky에서 제공하는 방식은 반드시 암호화된 파일 중에서 원본 파일을 찾으셔야 합니다.

      다른 방법으로 해제 방법은 공개된게 없습니다. 변종이 나왔는지는 5월5일경까지는 아니였던 것 같습니다. 그 이후일지도 모르겠네요.

  • 신지항 2016.05.09 11:17 댓글주소 수정/삭제 댓글쓰기

    변종인것 같아요 ㅜ.ㅜ
    분명 같은 파일인데 크리가 다르네요.. 그것도 모두 정확하게 260바이트씩 다르네요...

  • 띠로링 2016.05.09 12:32 댓글주소 수정/삭제 댓글쓰기

    어제 사무실 컴퓨터에 걸렸는데
    원본 파일보다 crypt 파일이 정확히 260바이트가 크네요 전부 다 똑같이 260바이트 차이...
    그래서 원본과 암호화된 파일을 같은 파일로 인식을 못해요ㅜㅜ
    새로운 소식 들어오시면 포스팅부탁드릴게요!!ㅜㅜ

    • Kaspersky 업체에서 복호화 도구를 수정해 줄 수 있는지 지켜봐야겠습니다. 아마도 암호화 알고리즘의 취약점을 수정했다면 이런 방식으로는 어려울 듯 하군요.ㅠ

  • 후아 2016.05.09 16:56 댓글주소 수정/삭제 댓글쓰기

    저는 오늘 아침에 걸렸습니다.

    댓글 다신분들과 같은 증상입니다.

    몇시간 동안 이곳저곳 해결책을 찾아 다녔지만 되질 않습니다.

    아래 링크는 제가 걸린 파일 중 하나로 복구하는 화면을 캡춰해서 올려봤습니다.

    암호화 된 파일 복구작업 중
    http://me2.do/I5P7YyNL 캡춰화면

    암호화 되기 전의 원본 파일
    http://me2.do/GyItJ301 암호화 진행되지 않은 원본 파일

    실제 암호화 되어진 파일
    http://me2.do/FnNUOsZD 암호화 진행된 파일

    답답하네요

  • 짜증나네요 2016.05.09 17:08 댓글주소 수정/삭제 댓글쓰기

    저는 오늘 아침에 걸렸습니다.
    댓글 다신분들과 같은 증상입니다.
    몇시간 동안 이곳저곳 해결책을 찾아 다녔지만 되질 않습니다.

    작업 화면을 댓글로 올려보려고 캡춰화면을 네이버클라우드에 올려서 링크주소를넣었더니 티스토리에서 댓글 차단을 시키네요 ㅜㅜ

    • 랜섬웨어 복호화 도구라는 것이 만능이 아닌게 복호화 방식이 공개되면 다시 제작자가 수정하면 암호를 풀 수 없게 될 가능성이 매우 높습니다.

      그러므로 평소 백업을 주기적으로 하는 방법과 이런 랜섬웨어에 감염되지 않도록 보안 업데이트를 제대로 하시는 방법 외에는 없겠네요.

  • 제발 2016.05.09 20:09 댓글주소 수정/삭제 댓글쓰기

    저도 감염됐는데요~~감염된 crypt 파일들이 전부 260바이트씩 커서 복구가 안되네요~~~~변종 같습니다. ㅠ ㅠ
    업뎃된 새론 포스팅 기다리겠습니다.

  • 제발살려주십시오.. 2016.05.10 12:14 댓글주소 수정/삭제 댓글쓰기

    아직 까지 ..변종 즉 동일 파일과용량이 다르다고 나오는 변종은..

    치료법이 아직까지는 존재하지 않는 것 인가요..?

    제발 해결방법 아시는 거 있으시면...부탁드립니다 도와주십시오..

  • 멘붕이네요. 2016.05.10 13:04 댓글주소 수정/삭제 댓글쓰기

    아~ 멘붕이네요.
    윗분들과 똑같네요.

    어제(9일)오후에 감염되었는데, 파일용량이 260바이트 차이가 나네요.

    해결방법 없을까요.
    중요파일(엑셀, Ai, PDF 등 중요 파일만 복구하고 포맷할생각인데),
    어찌해야 할지 난감합니다.

  • 제발 부탁드려요 2016.05.10 14:28 댓글주소 수정/삭제 댓글쓰기

    아 저도 260씩 크기가 크네요... 정말 돌겠습니다...
    대학원 생활하며 7년간 쓴 논문들까지 다 암호화 되어 버렸네요
    추가 소식 있으면 꼭 포스팅 부탁 드립니다... 꼭이요 ㅠ

  • 저도 부탁드려요 ㅠㅠ 2016.05.11 00:50 댓글주소 수정/삭제 댓글쓰기

    저도요 윗분들하고 똑같은 증상이예요 9일날 감염되었구요 오후 2시쯤 왜 감염됐는지도 잘 모르겠어요
    미드 보고 있다가 갑자기 이렇게 ㅜㅜ
    역시나 260식 크기가 증가했어요
    지금 대학원생인데 모아놓은 자료하며,, 과제 다음주까지 제출할게 지금 다 잠겨버려서..
    다시써야될거 같은데 시간내에 쓸 수 있을지 막막하네요 ㅠㅠ
    아하하... 제발 새로운 방법이 있으면 좋겠네요 포스팅 기다릴께요 ㅠ

  • 부탁해요.. ㅜㅠ 2016.05.11 09:53 댓글주소 수정/삭제 댓글쓰기

    5년동안 스캔받은 파일 다 잠겨버렸어요. ㅜㅠ 올해 몇달간 준비한 서류들도...

  • 부탁해요.. ㅜㅠ 2016.05.11 15:27 댓글주소 수정/삭제 댓글쓰기

    http://www.stellar-info.com/windows-data-recovery.php?ClickID=cnekzikiaizikik7kinikiiaqewaxpazakli

    이런 프로그램은 해결 안되나요?

    • 저런 파일 복구 프로그램으로 복원이 되면 다른 복구 프로그램으로 가능할겁니다.

      일반적으로 랜섬웨어는 파일 암호화할 때 원본 파일을 복구하지 못하게 보안 삭제를 할겁니다. 쉽지 않을꺼라 생각됩니다.

  • ㅜㅜ 미치겠습니다 2016.05.12 06:01 댓글주소 수정/삭제 댓글쓰기

    하아........

    일하고 있다가 화면이 툭 하더니 변하기 시작했어요

    윗분들하고 같은 증상이고요....당장 진행중인 프로젝트 파일들이 다 잠겼네요.....정말 미치고 환장하겠습니다 ㅠㅠ

  • 다들 고민하시고 계시는 것!! 어떻게 생각하세요? 2016.05.12 08:16 댓글주소 수정/삭제 댓글쓰기

    저도 여러번 시도하다가 세밀한 파일크기 차이가 자꾸 나는 것을 보고 검색하다가 여기와서 260씩 차이가 나는 것을 알게 되었네요.

    같은 증상이고, 회사 컴퓨터입니다ㅠ

    3일간을 뒤졌지만 벌새님의 포스팅이 가장 정확하고 명료해서 매일 들어오고 있습니다.

    의지할 곳이 이 곳 밖에 없네요ㅜ 저도 매일 포스팅 기다리고 있답니다ㅠㅠ

    제가 궁금한 것은.. 우리같은 피해자가 늘어가는데 변종에 대한 대처프로그램이나 기존 rannohdecryptor의 업데이트를 기다리는 것이 가치가 있을까 하는 것입니다. 일단 컴퓨터의 모든 파일을 못쓰게 되었지만 인터넷이나 새로 작업은 가능하기에 다른 것을 연결하지 않고 쓰면서 기다리려고 하는데 여러분들은 어떻게 하실 생각이신가요??

    (백업도 무서워서 못받..정말 중요한 것만 버리는 USB에 넣어놓으려구요..언젠가는 풀리지 않을까요? 병원이나 다른 기관에도 침투하고 있는데 세계 어디에선가는 해결방법을 제시하지 않을까하는 기대뿐입니다...ㅠㅠㅠㅠ)

  • 메일드린 유저 ter~~~~ 2016.05.13 13:15 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 본문관련하여 새로운 정보 메일드렸습니다.

    희망이 조금 보이는 것 같기도 한데...

    항상 감사드립니다.

    • 랜섬이자식 2016.05.13 14:02 댓글주소 수정/삭제

      저도 벌새님 포스팅을 기다리고 있는데요 ㅠㅠ
      혹시 새로운 정보 링크 알 수 있을까요

  • ★ CryptXXX 2.0 랜섬웨어 복호화 도구가 공개되었습니다.

    http://hummingbird.tistory.com/6363 링크 내용을 참고하여 암호를 해제해 보시기 바랍니다.

    • 2016.06.28 16:53 댓글주소 수정/삭제

      비밀댓글입니다

    • 제작된 툴은 복호화를 위한 키 추출을 위해서는 원본이 필요한 구조입니다.

      그리고 모든 파일에 대한 원본을 요구하는게 아니라 단지 1개의 원본이 필요하다는 의미입니다.

      1.x 버전인지 2.x 버전인지는 복호화 도구로 직접 해보시기 바랍니다. 참고로 Kaspersky에서 제공하는 최신 복구툴은 자동으로 체크를 할겁니다.