본문 바로가기

벌새::Software

CryptXXX 랜섬웨어(Ransomware)로 암호화된 파일 완벽 복구 방법 (2016.5.8)

728x90
반응형

최근 보안 패치를 제대로 하지 않은 상태로 웹사이트를 방문하는 과정에서 취약점(Exploit)을 통해 자동 감염되는 CryptXXX 랜섬웨어(Ransomware)에 피해를 당하는 사용자가 증가하는 것 같습니다.

 

다행히 Kaspersky 보안 업체에서 Kaspersky RannohDecryptor 복호화 도구를 통해 CryptXXX 랜섬웨어로 암호화된 .crypt 파일에 대한 방법을 제공하고 있지만, 사용 과정에서 발생할 수 있는 조건을 제대로 소개글에 언급하지 않아서 이용을 하지 못하는 문의가 다수 들어와서 추가적으로 확인을 해 보았습니다.

 

(1) CryptXXX 랜섬웨어로 암호화된 파일(.crypt)을 Kaspersky RannohDecryptor 복호화 도구를 이용하여 이전 상태로 복원하기 위해서는 반드시 암호화된 파일과 동일한 원본 파일을 1개는 찾아서 가지고 있어야 합니다.

 

 

(2) 복호화 과정에서 "Encrypted file size does not equal to original" 에러 메시지가 발생하는 경우는 사용자가 준비한 원본 파일이 실제 암호화된 파일의 원본이 아니기 때문입니다.

 

예를 들어 원본 파일과 암호화된 파일의 파일 크기를 모두 비교해보면 바이트(Byte)상으로는 동일하며, Hash값은 당연히 암호화로 인하여 변경되는 것을 알 수 있습니다.

 

그러므로 복호화 과정에서 파일 사이즈가 일치하지 않는다는 메시지가 나오는 경우에는 실제 일치하는 원본 파일이 아니라는 의미이므로 다른 파일을 찾으셔야 합니다.

 

 

(3) 복호화에 필요한 1개의 파일 선택 과정에서 반드시 파일 크기가 "8,192 Bytes ~ 4 GB" 조건에 부합해야 합니다.

 

(4) Kaspersky RannohDecryptor 복호화 도구를 통해 암호 해제가 이루어지는 파일은 사용자가 선택한 1개의 파일 사이즈와 동일하거나 이하인 경우에만 가능하므로, 최초 1개의 파일 선택 시 최대한 파일 용량이 높은 것을 선택하셔야 더 많은 파일 해제가 가능합니다.

 

 

실제 테스트에서 암호화된 파일 1개 선택 시 파일 크기가 가장 높은 파일을 선택하고, 해당 파일의 원본 파일을 추가하여 복호화를 진행해 보았습니다.

 

 

이전 소개글에서는 일부 파일만 해제되는 결과를 보인 것과 달리 사용자가 선택한 파일 크기보다 작은 암호화된 파일 일체가 모두 해제된 것을 확인할 수 있습니다.

 

그러므로 CryptXXX 랜섬웨어(Ransomware) 감염으로 인하여 Kaspersky RannohDecryptor 복호화 도구를 사용하실 때에는 반드시 최초 1개의 암호화된 파일과 해당 파일의 원본 파일을 선택할 때 파일 크기가 큰 것을 선택하시기 바랍니다.

 

또한 Kaspersky RannohDecryptor 복호화 도구와 같이 원본 파일을 요구하는 조건이 있을 수 있다는 점에서 어느때보다도 백업(Backup)의 중요성이 강조되므로 AppCheck Pro 안티랜섬웨어에서 제공하는 자동 백업 기능처럼 랜섬웨어(Ransomware) 감염 시에도 백업 파일은 안전하게 보호할 수 있는 솔루션을 추가로 운영하시는 것을 가장 추천해 드립니다.

 

 CryptXXX 랜섬웨어(Ransomware) 변종 정보 (2016.5.10)

 

2016년 5월 첫 번째 주말경부터 유포된 CryptXXX 랜섬웨어(Ransomware)는 Kaspersky RannohDecryptor 복호화 도구를 통해 암호화된 파일을 복원할 수 없는 것으로 확인되고 있습니다.

 

 

실제 최근 감염된 사례의 경우 암호화된 .crypt 파일은 원본 파일과 비교하여 260 바이트(Bytes) 증가한 것을 알 수 있으며, 이로 인하여 Kaspersky RannohDecryptor 복호화 도구의 조건인 원본 파일과 암호화된 파일의 크기가 반드시 일치해야 한다는 조건에 맞지 않습니다.

"CommandLine":"C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\svchost.exe C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\FB73.tmp.dll,MS112"

참고로 암호화를 수행하는 방식 역시 기존의 rundll32.exe 시스템 파일이 아니라 임시 폴더에 rundll32.exe (= svchost.exe) 파일을 복사하여 진행하는 것으로 보입니다.

 

그러므로 CryptXXX 랜섬웨어 감염으로 Kaspersky RannohDecryptor 복호화 도구 사용 시 파일 크기가 맞지 않는다고 에러가 발생하는 경우에는 현재로서는 복구할 수 있는 방법이 없는 것으로 판단됩니다.

728x90
반응형