보안 패치가 제대로 이루어지지 않은 PC 환경에서 악의적으로 조작된 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염 방식으로 .crypt 파일 확장명 주요 데이터 파일을 암호화하는 CryptXXX 랜섬웨어(Ransomware)가 2016년 4월 중순경부터 유포가 이루어지고 있습니다.
최초 유포된 CryptXXX 랜섬웨어는 Kaspersky 보안 업체에서 제공하는 Kaspersky RannohDecryptor 복호화 도구를 통해 암호 해제가 가능하였지만, 2016년 5월 초경부터 CryptXXX 2.0 버전이 등장하면서 더 이상 암호화된 파일을 복호화할 수 없는 문제가 발생하였습니다.
실제 Kaspersky RannohDecryptor 도구를 이용하여 복호화를 시도할 경우 "Encrypted file size does not equal to original" 메시지가 생성되었습니다.
대표적인 이유는 암호화 방식 변경으로 인하여 .crypt 파일 확장명으로 암호화된 파일과 원본 파일의 파일 크기가 260 Bytes 차이가 발생하여 기존의 복호화 방식으로는 해결되지 않는 것으로 보입니다.
이에 Kaspersky 보안 업체에는 Kaspersky RannohDecryptor 1.9.1.0 버전 업데이트를 통해 CryptXXX 랜섬웨어에 감염되어 암호화된 .crypt 파일을 복호화할 수 있도록 업데이트 되었음을 확인하였습니다.
1. CryptXXX 2.0 랜섬웨어(Ransomware) 정보
"CommandLine":rundll32.exe "C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\FB73.tmp.dll" MS113
기존의 CryptXXX 랜섬웨어와 비교하여 CryptXXX 2.0 버전은 임시 폴더 영역에 악성 DLL 파일을 생성하여 rundll32.exe 커맨드 명령어를 통해 동작하는 것으로 추정됩니다.
이를 통해 로딩된 악성 DLL 파일은 "C:\Windows\System32\rundll32.exe" 시스템 파일(Windows host process (Rundll32))을 복사하여 악성 DLL 파일이 위치한 폴더에 생성되어 "C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\svchost.exe" 파일로 등록될 수 있습니다.
이후 생성된 svchost.exe (= rundll32.exe) 파일을 실행하여 인젝션을 통해 파일 암호화 행위를 수행하는 것으로 판단됩니다.
암호화가 진행되면 문서, 사진, 압축, 음악 등의 파일을 .crypt 파일 확장명으로 변경하여 암호화가 이루어지며, 각 폴더에 (영문+숫자) 패턴으로 생성된 고유 ID값을 가진 bmp, html, txt 랜섬웨어 결제 안내 파일(75FAEA88DEE2.bmp / 75FAEA88DEE2.html / 75FAEA88DEE2.txt)을 생성합니다.
참고로 현재 새롭게 변형된 CryptXXX 랜섬웨어가 생성하는 랜섬웨어 결제 안내 파일은 !Recovery_(영문+숫자) 패턴을 가진 !Recovery_75FAEA88DEE2.bmp / !Recovery_75FAEA88DEE2.html / !Recovery_75FAEA88DEE2.txt 패턴입니다.
최종적으로 파일 암호화 행위가 완료된 경우에는 PC 전체 화면을 랜섬웨어 결제 안내 그림 파일로 덮어서 Windows 사용을 하지 못하도록 방해하며, 해당 증상을 제거하기 위해서는 강제로 Windows 재부팅을 진행하면 더 이상 Lock 행위는 발생하지 않습니다.
또한 파일 암호화가 완료된 후에는 악성 DLL 파일은 자동으로 삭제되어 자신의 흔적으로 제거합니다.
- C:\ProgramData\75FAEA88DEE.bmp :: 바탕 화면 배경 그림 지정 파일
- C:\ProgramData\75FAEA88DEE2.html :: 시작 프로그램 폴더 등록 파일
특히 C:\ProgramData 폴더 내에 생성된 bmp 파일과 html 파일을 이용하여 바탕 화면 변경 및 Windows 부팅 시마다 "C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\75FAEA88DEE2.lnk" 시작 프로그램 폴더 등록값을 통해 웹 브라우저를 통해 다음과 같은 금전 요구 메시지를 노출시킵니다.
참고로 변형된 CryptXXX 랜섬웨어 변종은 부팅 시 bmp, html 파일은 자동으로 노출하도록 시작 프로그램 폴더 등록값에 다음과 같은 약간의 변화를 주었습니다.
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\75FAEA88DEE2B.lnk :: "C:\ProgramData\75FAEA88DEE2.bmp" 파일 실행
- C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\75FAEA88DEE2H.lnk :: "C:\ProgramData\75FAEA88DEE2.html" 파일 실행
그러므로 CryptXXX 랜섬웨어 감염 후 더 이상의 파일 암호화는 진행되지 않지만 메시지가 지속적으로 노출되는 경우에는 시작 프로그램 폴더 등록 파일과 등록값을 찾아 삭제하셔야 합니다.
2. CryptXXX 2.0 버전 암호 해제 방법 : Kaspersky RannohDecryptor 1.9.1.0 버전
Kaspersky 보안 업체에서 제공하는 Kaspersky RannohDecryptor 1.9.1.0 버전을 다운로드하여 실행하시기 바랍니다.
실행된 Kaspersky RannohDecryptor 도구의 환경 설정(Change parameters)에서 원하는 검사 위치 및 옵션을 변경한 후 "Start scan" 버튼을 클릭하시기 바랍니다.
검사를 진행하기 위해서는 반드시 암호화된 파일(.crypt) 1개를 선택해야 하며, 반드시 암호화된 파일 중 파일 크기가 큰 파일을 선택하시기 바랍니다.
그 이유는 사용자가 선택한 파일 크기보다 더 큰 암호화된 파일은 복호화할 수 없으므로 파일 크기가 큰 파일을 선택하시는 것이 복호화 성공률이 높아집니다.
이후 메시지 창에서는 복호화에 필요한 키를 구하여 자동으로 파일 암호를 해제하므로 프로그램 및 컴퓨터를 종료하지 말라고 안내하고 있습니다.(※ 기존처럼 원본 파일을 요구하지 않습니다.)
테스트 상에서는 90% 수준으로 암호화된 파일이 복호화되는 것을 확인하였지만 avi, bmp, hwp, mp4, txt 등 일부 확장명을 가진 파일은 복호화되지 않는 경우도 있는 것으로 보이며, 이는 사용자 환경에 따라 달라질 수 있습니다.
그러므로 CryptXXX 랜섬웨어 감염으로 .crypt 파일 확장명으로 암호화된 피해를 당하신 분들은 Kaspersky RannohDecryptor 복호화 도구를 이용하여 해결해 보시기 바라며, 최근 어떤 분이 사이버 범죄자에게 금전을 지불하고 받은 복호화 키가 동작하지 않는 오류가 발생하는 사례를 확인하였으므로 함부로 돈을 송금하는 일이 없도록 주의하시기 바랍니다.