본문 바로가기

벌새::Software

TeslaCrypt 랜섬웨어 시대의 종말과 복호화 도구 공개 (2016.5.19)

2015년 초에 등장하여 최근까지 문서, 사진, 압축 파일 등을 암호화하여 돈을 요구하던 TeslaCrypt 랜섬웨어(Ransomware)가 최근 서비스를 완전히 종료함에 따라 제작자가 복호화 키를 공개하였다는 소식입니다.

 

 

이에 따라 BleepingComputer와 ESET 보안 업체에서는 TeslaCrypt 랜섬웨어로 암호화된 파일을 완벽하게 복구할 수 있는 복구툴을 공개함에 따라 사용 방법에 대해 살펴보도록 하겠습니다.

 

■ TeslaCrypt 랜섬웨어(Ransomware) 정보

 

TeslaCrypt 랜섬웨어는 2016년 3월 중순경 TeslaCrypt 4.0 버전으로 업데이트가 이루어졌으며, 파일 암호화 시도 과정에서 svchost.exe 시스템 파일을 이용하여 볼륨 섀도 복사본 서비스를 삭제하기 위한 명령어("C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet)를 수행합니다.

 

감염된 환경에서는 문서 폴더 내에 숨김(H) 속성값을 가진 "C:\Users\(로그인 계정명)\Documents\wlrmdr.exe" 랜덤(Random)한 파일명을 가진 악성 파일(SHA-1: fe1319b0ed543edd2e1817258f77b2e5cc643d91 - 알약(ALYac) : Trojan.Ransom.TeslaCrypt)을 생성하여 파일 암호화를 시도합니다.

 

파일 암호화가 진행될 경우 TeslaCrypt 종류에 따라 확장명이 추가될 수 있으며, TeslaCrypt 4.2 버전의 경우에는 확장명 변경없이 암호화가 진행될 수 있습니다.

 

 

파일 암호화 완료 후에는 !RecoveR!-aenzo++.HTML / !RecoveR!-aenzo++.PNG / !RecoveR!-aenzo++.TXT 3종의 랜섬웨어 결제 안내 파일을 생성하며, 시작프로그램 폴더 영역(C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)에 메시지 파일을 추가하여 부팅 시마다 자동으로 노출되도록 구성됩니다.

 

1. BleepingComputer 공개 TeslaDecoder 복호화 도구

 

BleepingComputer에서 공개한 TeslaDecoder 복호화 도구를 다운로드하여 ZIP 압축을 해제하시기 바랍니다.

 

압축 해제된 파일 중 TeslaDecoder.exe 파일을 실행하시기 바라며, 사전에 TeslaCrypt 랜섬웨어로 인하여 암호화된 파일을 특정 폴더에 저장하시고 진행하시면 편하십니다.

 

 

실행된 BloodDolly's TeslaDecoder 복호화 도구 메뉴 중 "Set key" 버튼을 찾아 클릭하시기 바라며, 해당 복호화 도구는 TeslaCrypt 0.x 버전부터 암호화된 파일을 복구할 수 있는 것으로 보입니다.

 

 

생성된 창에서 Key (hex) 공란에 "440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE" 복호화 키를 복사하여 넣으신 후 TeslaCrypt 랜섬웨어에 의해 암호화된 파일의 확장명을 Extension 메뉴에서 선택하시기 바랍니다.

 

현재 제공되는 확장명은 ".ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt, .micro, .mp3 및 원본 확장명 그대로 암호화된 경우(as original)"입니다.

 

모든 설정이 완료된 후에는 하단에 위치한 "Set key" 버튼을 클릭하시기 바랍니다.

 

 

다음 단계에서는 "Encrypted files" 메뉴에서 특정 폴더(Decrypt folder) 또는 전체 디스크(Decrypt all)를 대상으로 파일 복호화를 자동으로 진행하도록 설정할 수 있으며, 편의를 위해서는 암호 해제가 필요한 파일을 특정 폴더에 넣으시고 폴더를 지정하여 진행하시길 권장합니다.

 

 

참고로 파일 복호화 시 암호화된 파일에 대한 백업(.TeslaBackup) 파일을 생성할지 선택할 수 있으며, 예(Y)를 선택할 경우 백업 파일 생성없이 암호화된 파일에 덮어쓰기 방식으로 진행하므로 안전을 위해서는 아니요(N)를 선택하여 백업을 생성하면서 복호화를 진행하시길 권장합니다.

 

 

테스트에서는 TeslaCrypt 4.2 최신 버전(확장명 변경없음)을 통해 암호화된 파일을 시도하였으며, 복호화된 파일 목록은 BloodDolly's TeslaDecoder 복호화 도구가 위치한 폴더에 log.txt 파일로 생성됩니다.

 

 

복호화가 완료된 후 암호화된 TXT 파일이 정상적으로 복구가 이루어진 것을 확인할 수 있으며, 그 외에도 .doc, .jpg, .pdf, .png, .ppt, .rtf, .zip 등의 암호화된 파일이 정상적으로 복구되었음을 확인하였습니다.

 

2. ESET 보안 업체에서 제공하는 ESET Win32/Filecoder.TeslaCrypt Cleaner 복호화 도구

 

 

ESET 보안 업체에서도 복호화에 필요한 키가 공개됨에 따라 TeslaCrypt 랜섬웨어에 의해 암호화된 파일을 복구할 수 있는 ESET Win32/Filecoder.TeslaCrypt Cleaner 복호화 도구를 공개하였습니다.

 

ESET Win32/Filecoder.TeslaCrypt Cleaner 복호화 도구는 CMD 모드 방식으로 동작하므로 명령 프롬프트(관리자) 메뉴를 실행하여 다운로드한 ESETTeslaCryptDecryptor.exe 파일을 실행하시기 바랍니다.

 

 

실행된 ESET Win32/Filecoder.TeslaCrypt Cleaner 복호화 도구의 사용법을 확인해보면 [ESETTeslaCryptDecryptor.exe [옵션] <파일명 또는 디렉토리명>] 형태로 사용하실 수 있습니다.

 

 

실제 복호화를 시도해보면 TeslaCrypt 3.0.0 ~ TeslaCrypt 4.2 버전까지 암호화된 파일을 지원한다는 점에서 BleepingComputer에서 제공하는 복호화 도구가 더 광범위하게 파일 복호화를 진행할 수 있으리라 추정됩니다.

 

복호화가 진행된 후에는 .backup_1_by_eset 백업 파일이 생성되며, TeslaCrypt 랜섬웨어에 의해 암호화된 파일이 정상적으로 복구되는 것을 확인할 수 있었습니다.

 

그러므로 기존에 TeslaCrypt 랜섬웨어(Ransomware)에 의해 암호화되어 해제하지 못하고 있었던 파일이 존재한다면 공개된 복호화 도구를 통해 암호를 해제하시기 바랍니다.

 

참고로 TeslaCrypt 랜섬웨어 시대는 종말을 고했지만 기존 유포자들은 CryptXXX 랜섬웨어(Ransomware)로 전환하여 지속적인 사이버 범죄 행위를 진행하고 있다는 점에서 피해를 당하지 않도록 주의하시기 바랍니다.

  • 제발 2016.05.19 13:01 댓글주소 수정/삭제 댓글쓰기

    이걸로 CryptXXX 2.0 랜섬웨어를 복호화 시킬 수 있는 방법은 없겠지요..?

  • 항상 보면서 놀랍니다.
    좋은 정보들 가득합니다,

  • 규호 2016.05.20 11:37 댓글주소 수정/삭제 댓글쓰기

    노트북이 랜섬웨어에 걸려서 아직 찾아보고 기다리는 중인데요
    뜬금없이 잘 몰라서 여쭤보는데 제가 걸린 랜섬웨어의 종류를 어떻게 알 수 있을까요??

    • 해외 서비스 중에서 랜섬웨어에 감염되어 암호화된 파일 또는 금전 요구 메시지 파일을 업로드하면 무슨 랜섬웨어인지 또는 복호화 도구가 있는지 여부를 실시간으로 알려주는 서비스가 있습니다.

      https://id-ransomware.malwarehunterteam.com/

      단지 암호화된 파일 업로드 시 개인정보 유출에 주의하시기 바랍니다.

  • 연이아빠 2016.05.20 18:05 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 도움이 많이 되고있습니다. 현재 파일 사이즈가 달라서 복구가 않되고있는데 업데이트가 되면 가능성이 있을까요?
    그리고 다른 프로그램은 확장자 문제로 또 안되는데(선박(차도선) 수정사항_160420.pptx.crypt) 이런 파일은 as original로 하면 되는거 아닌가요? 너무 몰라서 답답합니다. 조언좀 부탁드립니다.

    • 감염된 랜섬웨어는 CryptXXX 랜섬웨어입니다. 이 글은 TeslaCrypt 랜섬웨어 복호화 도구입니다.

      암호화 자체가 다른 방식이라서 전혀 도움이 안됩니다.

  • 연이아빠 2016.05.20 18:35 댓글주소 수정/삭제 댓글쓰기

    아! 그렇군요.무식해서 ㅋ

  • 학생 2016.05.21 20:32 댓글주소 수정/삭제 댓글쓰기

    The decryption of files encrypted by this variant of Trojan-Ransom.Win32.CryptXXXX is not supported.
    version 1.9.1.1. 사용하는데 이렇게 나오는데 어떻게 해야 할까요? 다 찾아봐도 명확한 답변이 없습니다....

  • 제발 2016.05.22 04:00 댓글주소 수정/삭제 댓글쓰기

    명령어를 어떻게 입력해야 하는거죠?ㅠㅠㅠㅠㅠㅠ계속 명령 구문이 올바르지 않다고 뜹니다ㅠㅠㅠ

  • 비밀댓글입니다

    • 이 글에서 설명하는 것은 TeslaCrypt 랜섬웨어이며 질문하신 분은 CryptXXX 랜섬웨어에 감염되었으므로 파일을 해제하는데 아무런 도움이 되지 않습니다.

  • ㅠㅠㅠㅠ 2016.05.22 10:06 댓글주소 수정/삭제 댓글쓰기

    RSA에 감염된것도 안될 수도 있나요?

  • 크립감염.. 2016.05.23 10:00 댓글주소 수정/삭제 댓글쓰기

    열심히 읽어보았는데... 저도 crypt에 감염된것 같아요..... 데이터 업체에서 조차도 해줄 수 없다고 하네요.. 언젠가는 위 처럼 복호화 할 수 있는 방법이 생길까요...?? 원본은 없어요... ㅜㅜ 그래도 포맷하지 말고 기다려 볼까요...??? ㅜㅜㅜㅜ

    • CryptXXX 랜섬웨어는 TeslaCrypt 랜섬웨어와 다르므로 현재 해제 방법이 없습니다.

      복구가 필요한 파일은 따로 백업해 두시고 포맷을 하시면 됩니다.

  • 궁금한 2016.05.24 02:49 댓글주소 수정/삭제 댓글쓰기

    작년 11월경 걸렸을때에 랜섬웨어 종류는 기억이 잘 나진않지만 뒤에 .ccc로 잠겼는데 복호화 가능할까요..? 궁금해서 질문 드립니다 ㅜㅜ

  • 궁금한 2016.05.24 13:36 댓글주소 수정/삭제 댓글쓰기

    첫 방법으로 해봤는데 파일들이 풀리지않고 다 스킵되는데 왜이럴까요? .CCC인데

  • 아니아니 2016.07.30 11:38 댓글주소 수정/삭제 댓글쓰기

    파일확장자 변함없고 열리지만않아요 문구는 rsa4096이라 teslacrypt 4.0 인듯싶은데 왜 저는 복호화가 안될까요.,..

    • http://www.talosintelligence.com/teslacrypt_tool/

      해당 사이트에서 제공하는게 TeslaCrypt 최신 복호화 도구입니다.

      하지만 최근에 확인된 변종에서는 복호화가 되지 않을 수도 있습니다.

  • 여쭘 2016.08.05 12:43 댓글주소 수정/삭제 댓글쓰기

    찾다보니 제가 걸린 랜섬웨어가 MicrosoftCrypte 라는걸 알게됬어요 Readme랜섬웨어라는데
    이 복호화툴은 없겟죠?

  • 살려주세요 2016.09.10 13:52 댓글주소 수정/삭제 댓글쓰기

    덕분에 많은 정보 얻었습니다 정말 감사합니다
    제가 걸린 랜섬웨어는 확장자명이 전혀 변경되지 않아서 microsoftcrypter 혹은 teslacrypt 4.0 인 것 같습니다.. readme 가 모든 폴더에 생성되면 전자일까요?
    혹시 파일을 내버려두면 언젠가 복호화툴이 나올 수도 있을까요?

    • 아마도 CrypMic 랜섬웨어에 감염된 것으로 보입니다.

      기존의 CryptXXX 랜섬웨어 계열인데 현재 파일 복구를 위해서는 돈을 지불하는 방법 외에는 없는 것으로 알고 있습니다.

      복호화툴이 나올 수 있을지는 아무도 모르죠. 우선은 암호화된 파일을 따로 백업해 두시는게 좋을 것 같습니다.

    • 살려주세요 2016.09.10 19:21 댓글주소 수정/삭제

      이제야 알게 되어서 크립믹에 관한 글에도 댓글을 남겼습니다 정보 정말 감사드립니다

      정말 중요한 데이터라서 비트코인을 주고라도 풀어보고 싶은데.. 이게 시도해볼 가치가 있을까요?

      벌새님이 보신 해외에서의 사례등을 보면 가능성이 있어보이나요?

  • 좋은 정보 감사합니다.
    오늘도 즐거운 하루 보내세요!