본문 바로가기

벌새::Software

CryptXXX 2.0 랜섬웨어 복호화 도구 업데이트 소식 (2016.5.13)

보안 패치가 제대로 이루어지지 않은 PC 환경에서 악의적으로 조작된 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염 방식으로 .crypt 파일 확장명 주요 데이터 파일을 암호화하는 CryptXXX 랜섬웨어(Ransomware)가 2016년 4월 중순경부터 유포가 이루어지고 있습니다.

 

최초 유포된 CryptXXX 랜섬웨어는 Kaspersky 보안 업체에서 제공하는 Kaspersky RannohDecryptor 복호화 도구를 통해 암호 해제가 가능하였지만, 2016년 5월 초경부터 CryptXXX 2.0 버전이 등장하면서 더 이상 암호화된 파일을 복호화할 수 없는 문제가 발생하였습니다.

 

 

실제 Kaspersky RannohDecryptor 도구를 이용하여 복호화를 시도할 경우 "Encrypted file size does not equal to original" 메시지가 생성되었습니다.

 

 

대표적인 이유는 암호화 방식 변경으로 인하여 .crypt 파일 확장명으로 암호화된 파일과 원본 파일의 파일 크기가 260 Bytes 차이가 발생하여 기존의 복호화 방식으로는 해결되지 않는 것으로 보입니다.

 

이에 Kaspersky 보안 업체에는 Kaspersky RannohDecryptor 1.9.1.0 버전 업데이트를 통해 CryptXXX 랜섬웨어에 감염되어 암호화된 .crypt 파일을 복호화할 수 있도록 업데이트 되었음을 확인하였습니다.

 

1. CryptXXX 2.0 랜섬웨어(Ransomware) 정보

 

"CommandLine":rundll32.exe "C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\FB73.tmp.dll" MS113

기존의 CryptXXX 랜섬웨어와 비교하여 CryptXXX 2.0 버전은 임시 폴더 영역에 악성 DLL 파일을 생성하여 rundll32.exe 커맨드 명령어를 통해 동작하는 것으로 추정됩니다.

 

이를 통해 로딩된 악성 DLL 파일은 "C:\Windows\System32\rundll32.exe" 시스템 파일(Windows host process (Rundll32))을 복사하여 악성 DLL 파일이 위치한 폴더에 생성되어 "C:\Users\(로그인 계정명)\AppData\Local\Temp\Low\svchost.exe" 파일로 등록될 수 있습니다.

 

이후 생성된 svchost.exe (= rundll32.exe) 파일을 실행하여 인젝션을 통해 파일 암호화 행위를 수행하는 것으로 판단됩니다.

 

암호화가 진행되면 문서, 사진, 압축, 음악 등의 파일을 .crypt 파일 확장명으로 변경하여 암호화가 이루어지며, 각 폴더에 (영문+숫자) 패턴으로 생성된 고유 ID값을 가진 bmp, html, txt 랜섬웨어 결제 안내 파일(75FAEA88DEE2.bmp / 75FAEA88DEE2.html / 75FAEA88DEE2.txt)을 생성합니다.

 

참고로 현재 새롭게 변형된 CryptXXX 랜섬웨어가 생성하는 랜섬웨어 결제 안내 파일은 !Recovery_(영문+숫자) 패턴을 가진 !Recovery_75FAEA88DEE2.bmp / !Recovery_75FAEA88DEE2.html / !Recovery_75FAEA88DEE2.txt 패턴입니다.

 

 

최종적으로 파일 암호화 행위가 완료된 경우에는 PC 전체 화면을 랜섬웨어 결제 안내 그림 파일로 덮어서 Windows 사용을 하지 못하도록 방해하며, 해당 증상을 제거하기 위해서는 강제로 Windows 재부팅을 진행하면 더 이상 Lock 행위는 발생하지 않습니다.

 

또한 파일 암호화가 완료된 후에는 악성 DLL 파일은 자동으로 삭제되어 자신의 흔적으로 제거합니다.

 

  • C:\ProgramData\75FAEA88DEE.bmp :: 바탕 화면 배경 그림 지정 파일
  • C:\ProgramData\75FAEA88DEE2.html :: 시작 프로그램 폴더 등록 파일

특히 C:\ProgramData 폴더 내에 생성된 bmp 파일과 html 파일을 이용하여 바탕 화면 변경 및 Windows 부팅 시마다 "C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\75FAEA88DEE2.lnk" 시작 프로그램 폴더 등록값을 통해 웹 브라우저를 통해 다음과 같은 금전 요구 메시지를 노출시킵니다.

 

참고로 변형된 CryptXXX 랜섬웨어 변종은 부팅 시 bmp, html 파일은 자동으로 노출하도록 시작 프로그램 폴더 등록값에 다음과 같은 약간의 변화를 주었습니다.

 

  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\75FAEA88DEE2B.lnk :: "C:\ProgramData\75FAEA88DEE2.bmp" 파일 실행
  • C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\75FAEA88DEE2H.lnk :: "C:\ProgramData\75FAEA88DEE2.html" 파일 실행

 

그러므로 CryptXXX 랜섬웨어 감염 후 더 이상의 파일 암호화는 진행되지 않지만 메시지가 지속적으로 노출되는 경우에는 시작 프로그램 폴더 등록 파일과 등록값을 찾아 삭제하셔야 합니다.

 

2. CryptXXX 2.0 버전 암호 해제 방법 : Kaspersky RannohDecryptor 1.9.1.0 버전

 

Kaspersky 보안 업체에서 제공하는 Kaspersky RannohDecryptor 1.9.1.0 버전을 다운로드하여 실행하시기 바랍니다.

 

 

실행된 Kaspersky RannohDecryptor 도구의 환경 설정(Change parameters)에서 원하는 검사 위치 및 옵션을 변경한 후 "Start scan" 버튼을 클릭하시기 바랍니다.

 

 

검사를 진행하기 위해서는 반드시 암호화된 파일(.crypt) 1개를 선택해야 하며, 반드시 암호화된 파일 중 파일 크기가 큰 파일을 선택하시기 바랍니다.

 

그 이유는 사용자가 선택한 파일 크기보다 더 큰 암호화된 파일은 복호화할 수 없으므로 파일 크기가 큰 파일을 선택하시는 것이 복호화 성공률이 높아집니다.

 

 

이후 메시지 창에서는 복호화에 필요한 키를 구하여 자동으로 파일 암호를 해제하므로 프로그램 및 컴퓨터를 종료하지 말라고 안내하고 있습니다.(※ 기존처럼 원본 파일을 요구하지 않습니다.)

 

 

테스트 상에서는 90% 수준으로 암호화된 파일이 복호화되는 것을 확인하였지만 avi, bmp, hwp, mp4, txt 등 일부 확장명을 가진 파일은 복호화되지 않는 경우도 있는 것으로 보이며, 이는 사용자 환경에 따라 달라질 수 있습니다.

 

그러므로 CryptXXX 랜섬웨어 감염으로 .crypt 파일 확장명으로 암호화된 피해를 당하신 분들은 Kaspersky RannohDecryptor 복호화 도구를 이용하여 해결해 보시기 바라며, 최근 어떤 분이 사이버 범죄자에게 금전을 지불하고 받은 복호화 키가 동작하지 않는 오류가 발생하는 사례를 확인하였으므로 함부로 돈을 송금하는 일이 없도록 주의하시기 바랍니다.

  • 이전 댓글 더보기
  • 제발 2016.05.21 15:05 댓글주소 수정/삭제 댓글쓰기

    카스퍼스키 랜섬웨어 20일자로 업데이트 된거 같은데
    혹시 사용법을 알수 있을지요?
    벌새님 고생많으신데 확인 한번 부탁드립니다.ㅠㅠ

  • 동동동 2016.05.21 16:00 댓글주소 수정/삭제 댓글쓰기

    랜섬웨어로 암호화된파일을 이제 더이상 암호화진행은 되지않을테니
    따로 하드에 보관한후 나중에 풀어도되나요?
    pc는 포맷해서 사용하려구요,,
    좋은 답변들 많이 달아주셨는데 답변한번만 부탁드리겠습니다 ㅠㅜㅜ

  • 동동동 2016.05.21 16:38 댓글주소 수정/삭제 댓글쓰기

    혹시,, 포맷하지않고 암호화된파일만 나중에 복구하고
    그대로 pc사용해도 괜찮을까요?
    정밀검사해서 랜섬웨어파일이 발견되지않아도
    재발할수있는건가요?

    • 특별히 문제없다면 그렇게 하셔도 됩니다.

      단지 CryptXXX 랜섬웨어에 감염된걸 보니 보안 업데이트를 추가적으로 하셔야 차후 감염이 재발되지 않을겁니다.

  • 오늘 동영상보다가 랜섬웨어에 감염된 후 재부팅 했는데 검색해 보니까 인터넷을 꺼놔야 한다고 하는데 월요일까지는 인터넷을 꺼놓을 수가 없거든요ㅜㅜ 켜놓으면 계속 감염이 진행되는건지 .. 백신같은거 돌려봐도 잡히는건 없긴한데.. 월요일에 포맷예정인데 그때까지 컴퓨터 괜찮을까요ㅜㅜ
    그리고 감염 후에 저장한 파일들은 앞으로 잠기지 않는건가요 ?

    • 안전모드로 부팅해서 백신으로 정밀 검사를 통해 악성 파일을 제거하시면 됩니다.

      그리고 여기에서 언급한 랜섬웨어는 파일 암호화 후에 스스로 자신을 삭제하여 이후에는 파일 암호화 행위를 안합니다.

    • .. 2016.05.21 17:46 댓글주소 수정/삭제

      답변 정말 감사해요.
      또 질문 죄송해요ㅜㅜ 안전모드가 켜지질않아요..안전모드로 키려고 여러번 시도했는데 화면과 커서만 커지고 안전모드라고 써있으나 아이콘들 같은건 하나도 뜨질 않아요ㅜㅜ
      아무튼 그럼 여기서 컴퓨터가 꺼지거나 인터넷이안된다거나 하는 더 악화될 상황은 일어나지않겠죠?
      제 컴퓨터가 아니라 너무 걱정되어서 염치불고하고 또 질문드리네요 ㅜㅜ

    • 안전모드로 정상적으로 부팅되지 않는다면 어쩔 수 없을 듯 하군요.

      악성 파일이 딱 정해진 위치와 이름으로 생성되는 것이 아니라서...

      단지 이미 파일 암호화가 진행되었다면 이미 암호화하는 악성 파일은 자동으로 제거되었을 수 있으므로 정상적으로 부팅해 보시기 바랍니다.

  • 제발 2016.05.21 17:49 댓글주소 수정/삭제 댓글쓰기

    감염된 파일 확장자가 crypt 이면 cryptxxx 나 cryptxxx2.0 랜섬이 맞나요?
    17일저녁 감염되었는데요 ㅠㅠ
    카스퍼스키 업뎃을 기다렸는데 오늘 다시 해보니
    the decryption of files encrypted by this variant of Trojan-Ransom.win32.cryptxxx is not supported 이렇게 뜨네요 ㅠㅠ
    사용방법은 감염파일 선택하면 되는거 맞지요? ㅠㅠ

  • 이런 2016.05.22 11:39 댓글주소 수정/삭제 댓글쓰기

    21일 컴터 켜자마자 이미지 파일과 익스플로 창이 켜지더니 파일명뒤에 바탕화면에 파일들이 crypt붙어서 저두 부랴부랴 해결책 찾다가 2.0받아서 해결을 시도해 보려 했지만
    the decryption of files encrypted by this variant of Trojan-Ransom.win32.cryptxxx is not supported
    이거 뜨면서 아무것도 못하네요
    다음 버전 나올떄까지 기다려야 할까요?

  • 링나 2016.05.22 13:02 댓글주소 수정/삭제 댓글쓰기

    !Recovery 파일이 html, txt 형식으로 많이 생겨났어요
    html은 열어보기 무섭구 txt파일을 열어보니 랜섬웨어 감염되고 바탕화면에 떴던 내용이 그대로 있더라구요
    내컴퓨터에서 문서찾기로 !Recovery를 쳐보니 700개의 파일이 검색되어 삭제했는데...
    혹시 이 파일을 삭제하면 추후에 복구툴이 나왔을 때 저는 복구가 어려울까요?...궁금해서 네이버에도 쳐보았는데 ㅜㅜ 광고성 글만 많이 나와서 정보를 찾을 수 없더라구요 답변 부탁드려요 ㅜㅜ

  • 비밀댓글입니다

    • svchost.exe 파일은 삭제하셔도 되지만 정상 파일이며, 파일을 암호화한 악성 DLL 파일은 아마도 자동으로 삭제되었을겁니다.

      시스템 복원으로는 개인 데이터는 복구가 되지 않을겁니다. 복구하고 싶은 파일은 따로 백업을 해두었다가 차후에 혹시 나올지도 모를 복구툴을 이용해 보시기 바랍니다.

    • 2016.05.22 16:32 댓글주소 수정/삭제

      비밀댓글입니다

    • 부팅 시마다 실행 여부를 묻는 사용자 계정 컨트롤 창이 뜬다면 여전히 악성 파일(DLL)이 존재한 것 같습니다.

      백신으로 정밀 검사를 해서 파일을 제거하시기 바랍니다. 또는 시작 프로그램 폴더에 등록된 자동 실행값을 제거하시기 바랍니다.

    • 찾기 어려우시면 MZK 도구(http://cafe.naver.com/malzero/94376)로 검사해 보시기 바랍니다.

  • 요원 2016.05.22 16:21 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 한참 막막했는데, 벌새님 글 보고 희망을 찾아 나가고 있습니다.
    제 pc의 Personal ID는 75FAEA88DEE2가 아니라 C1A5DA744597으로 확인되고 있는데, id를 제외하고 나머지 증상은 올려주신 글에 있는 내용과 거의 일치합니다. 그런데 RannohDecryptor Version 1.9.1.1 으로 치료를 시도하려다 보니 아예 암호화된 파일 자체가 목록에 안 나오는군요..

    제가 걸린 랜섬웨어는 변종인 건가요? 조금 더 기다려 보는것이 나을지..
    진단을 어떻게 해야할지 막막하네요..
    도움 부탁드립니다..

  • 타조알 2016.05.23 08:29 댓글주소 수정/삭제 댓글쓰기

    바이러스에 걸린 파일과 원본파일을 선택하라는 방법이 이해가 잘 안되요. 바이러스 걸린 파일 복사만 해두면 그게 원본 파일이 되는건가요?

    • 그런 메시지가 나왔다면 현재로서는 암호를 풀 수 없는 변종에 감염된 것으로 보입니다.

      그리고 바이러스에 걸린 파일(= 암호화된 파일)을 의미하며 원본 파일은 바이러스에 걸리기 이전의 정상적인 파일을 의미합니다.

    • 이명화 2016.05.24 09:32 댓글주소 수정/삭제

      원본파일이 있으면 그냥 사용하면 되는데 굳이 복원할 필요가 있나요? 혹시, 1개라도 원본파일이 있으면 이것이 나머지 파일을 복구시켜주는 역할을 한다는 것인가요? 아직도 헷갈리는 1인. @.@

    • 암호화된 파일에서 사용된 키를 추출할 목적으로 보이며, 모든 암호화된 파일의 원본을 원하는게 아니라 단 1개의 파일을 원하는겁니다.

      암호화되기 이전의 원본 파일과 어떤 변화가 있는지 유추할 목적으로 보입니다.

  • 모기 2016.05.23 10:20 댓글주소 수정/삭제 댓글쓰기

    바이러스에 걸린파일들을 복구하기위해서는
    원본파일이 필요하다 하는데 저는 원본파일이 없는데..
    이런경우는 어떻게 해야할까요? §

  • 연이아빠 2016.05.23 18:08 댓글주소 수정/삭제 댓글쓰기

    원본이랑 사이즈가 다르면 복구툴이 업데이트되도 불가능한가요?

  • 연이아빠 2016.05.23 19:04 댓글주소 수정/삭제 댓글쓰기

    네. 감사합니다. 일단 기다려 봐야겠군요.

  • 랜섬웨어라니.. 2016.05.23 19:22 댓글주소 수정/삭제 댓글쓰기

    살다가 이런 악질적인 해킹은 처음 당해보네요. 저도 현재 캐스퍼스키 1.9.1.1을 사용해봣으나 the decryption of files encrypted by this variant of Trojan-Ransom.win32.cryptxxx is not supported 메세지때문에 아무것도 되지 않는 상태인데, 확장자 crypt로 묶여있는 파일들을 보관해놓고기다리는게 유일한 답일까요? ㅠㅠ

  • 안녕하세요, 2016.05.24 03:03 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 ㅠㅠ 저도 오늘 이 블로그를 보고 다운을 받아서 해봤는데
    scan complete라고 떳는데 복구가 한개도 안되어있ㄴㅔ요 ㅠㅠ
    왜그런거죠? ㅠㅠ

  • 하리 2016.06.20 02:58 댓글주소 수정/삭제 댓글쓰기

    저 같은 경우는 mp4 파일로 변환됐고 jjumb라는 이름이 일괄적으로 붙었더군요...안랩에서 제공하는 툴로 복구가 안됐습니다 ㅠㅠ
    검색해 봐도 굉장히 아웃싸이더적인 랜섬웨어 같은데요, 언제고 복구될 가능성이 있을까요?

  • 하리 2016.06.21 01:54 댓글주소 수정/삭제 댓글쓰기

    제반 지식이 없어서 그런데요, 부탁좀 드리겠습니다. 알고 계신 한도 내에서 조금이라도 알려 주시면 좋겠어요.
    제가 걸린것도 랜섬웨어가 맞는지? 이것도 일종의 랜섬웨어니까 해커들이 공개한 방식 같은걸로 해제 복구하는 툴이 나올
    가성이 있는지...등등요 너무 답답하네요.

    • 최근에 감염된 CryptXXX 랜섬웨어(.crypz)는 그들에게 돈을 지불하지 않을 경우 완벽한 복구할 수 있는 방법이 전혀 없습니다.

      http://hummingbird.tistory.com/6385

      이 글에서처럼 일부 부분 복구는 가능하지만 상당한 시간이 소요되며 복구된 파일로 일부분만 복구되므로 추가적인 복구툴을 이용한 복구가 필요하며 성공한다는 보장이 없습니다.

  • 라민 2016.07.17 14:45 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 ! 랜섬웨어때문에 한 1년전에 그동안 자료를 다 날렸던 지나가던 한 사람이랍니다 ㅠㅠ
    어찌어찌하다가 파일에 미련을 못버리고 있던 파일들을 잠금파일이며 별의별것까지 당시에 다 엔드라이브에 밀어넣어버렸다가 지금 하나하나꺼내고 있는데요.. 엔드라이브에 다 밀어넣었을 당시에도 원본파일이라고 쓰여있는 파일이 애초에 없었고 지금 찾아봐도 잠긴파일 하나만 떡하니 있네요.. 어떻하죠 ㅠㅠ
    + encrypted 면 랜섬웨어 맞는거겠죠?!

  • 콩콩 2016.12.24 17:20 댓글주소 수정/삭제 댓글쓰기

    pc는 정말 아무것도 만질 줄 몰라 이렇게 질문드려요ㅠㅠ
    한 6개월 전 쯤 사진파일이 음악파일로 다 바뀌었고 _ReCoVeRy_+ydxqu 이런 파일들이 생겼는데
    랜섬웨어같아 그냥 포기하고 두다가 오늘 카스퍼스키깔아서 파일스캔하는데 이렇게 뜨네요..
    original copy of the specified file is required for successful decyrption
    You need to specify the path to this original copy after pressing the button cotinue
    원본파일이 필요하단 건가요 ㅠㅠ?
    아니면 RSA4096 에 걸렸다고 하는데 이것도 신종이라 카스퍼스키로 풀수가 없는건가요?

  • 콩콩 2016.12.25 03:32 댓글주소 수정/삭제 댓글쓰기

    몽땅 음악파일로 바꼈는데 ...그럼 앞으로도 복구가 안되는건가요............ㅜ_ㅜ

    • 암호화된 파일이 .mp3 확장명으로 변경되었다는 의미인가요?

      맞다면 CryptXXX 랜섬웨어가 아니라 TeslaCrypt 랜섬웨어가 아닌가 생각됩니다.

      http://hummingbird.tistory.com/5918

      여기에서 안내하는 복구툴 또는 다른 복구툴을 사용해 보시기 바랍니다.