본문 바로가기

벌새::Software

안랩(AhnLab) CryptXXX 랜섬웨어 복구툴 공개 (2016.5.26)

728x90
반응형

최근 악의적으로 조작된 웹사이트 접속 과정에서 보안 패치가 제대로 설치되지 않은 경우 취약점(Exploit)을 이용한 CryptXXX 랜섬웨어(Ransomware) 감염으로 문서, 사진, 압축, 음악 등의 개인 파일이 .crypt 확장명으로 암호화되는 피해가 급증하고 있습니다.

 

초기에는 Kaspersky 보안 업체에서 CryptXXX 랜섬웨어로 암호화된 파일을 복구할 수 있는 복구툴을 제공하였지만, CryptXXX 랜섬웨어 제작자의 거듭된 변화에 따라 현재 유포되는 CryptXXX 3.0 버전에 대해서는 복구툴이 공개되지 않은 상태입니다.

 

또한 기존에 공개된 CryptXXX 2.0 랜섬웨어 복구툴은 HWP 한글 문서와 같은 특정 파일은 해제가 제대로 이루어지지 않았는데, 안랩(AhnLab) 보안 업체에서 조금 더 개선된 CryptXXX 2.0 랜섬웨어 복구툴을 공개하였기에 살펴보도록 하겠습니다.

 

안랩(AhnLab) 제공 CryptXXX 랜섬웨어 복구툴은 CryptXXX 1.x 버전, CryptXXX 2.x 버전, CryptXXX 3.x 버전 중에서 CryptXXX 2.x 버전으로 암호화된 파일을 복구할 수 있으며, 대략적으로 2016년 5월 20일 전후 이전에 감염된 경우가 아닐까 추정됩니다.

 

 

"Removal Tool for CryptXXX Decryptor" 도구를 이용하여 .crypt 확장명으로 암호화된 파일이 저장된 폴더를 지정한 후 검사를 수행하면 복구 가능한 파일을 목록에 표시합니다.(※ 빠른 검사를 위해서는 복구가 필요한 .crypt 파일을 특정 폴더에 넣은 후 해당 폴더를 지정하여 검사하시기 바랍니다.)

 

단, 성공적인 복구를 위해서는 실행 중인 다른 응용 프로그램은 모두 종료한 상태에서 복구를 진행하시길 권장합니다.

 

 

이후 "전체치료" 버튼을 클릭하시면 파일 복원에 상당한 시간이 소요되므로 복원 과정 동안 복구툴이나 컴퓨터를 종료하지 않도록 안내 메시지를 표시합니다.

 

 

.crypt 확장명으로 암호화된 파일에 대한 복구가 진행되면 복원에 성공한 파일은 복원으로 표시되며, 복원이 이루어지지 않은 경우에는 복원 실패로 표시됩니다.

 

실제 복원이 완료된 후 확인을 해보면 복원된 파일은 정상적으로 열리는 것이 확인되었으며, Kaspersky 보안 업체에서 제공하는 복구툴에서 해제되지 않았던 HWP 한글 문서도 성공적으로 복원이 되었습니다.

 

 

이후 복원에 성공한 .crypt 파일은 삭제한 후 복원 실패한 파일에 대해서 재검사를 수행하여 반복적으로 복원을 시도해 보시면 성공적으로 복원이 될 수도 있다고 안랩(AhnLab)에서는 안내하고 있습니다.

 

단지 복구 대상 리스트에 포함된 jpg, png, mp3와 같은 일부 암호화된 파일이 반복적으로 복원이 이루어지지 않는 문제도 있으며, 안랩(AhnLab)에서는 복구되지 않는 암호화된 파일과 100% 동일하지는 않지만 백업 파일(원본 파일)이 있다면 함께 바이러스 신고센터에 전달해 줄 경우 분석을 통해 복구를 할 수 있도록 복구툴을 업데이트할 예정이라고 밝히고 있습니다.

 

그러므로 CryptXXX 2.x 버전으로 암호화된 랜섬웨어 피해자는 안랩(AhnLab)에서 제공하는 복구툴을 사용해 보시기 바랍니다.

 

 

참고로 현재 유포되는 CryptXXX 3.0 버전으로 암호화된 .crypt 확장명을 가진 파일을 통해 검사를 수행할 경우 "바이러스가 없습니다." 메시지와 같이 인식 자체를 못합니다.

728x90
반응형