본문 바로가기

벌새::Software

안랩(AhnLab) CryptXXX 랜섬웨어 복구툴 공개 (2016.5.26)

최근 악의적으로 조작된 웹사이트 접속 과정에서 보안 패치가 제대로 설치되지 않은 경우 취약점(Exploit)을 이용한 CryptXXX 랜섬웨어(Ransomware) 감염으로 문서, 사진, 압축, 음악 등의 개인 파일이 .crypt 확장명으로 암호화되는 피해가 급증하고 있습니다.

 

초기에는 Kaspersky 보안 업체에서 CryptXXX 랜섬웨어로 암호화된 파일을 복구할 수 있는 복구툴을 제공하였지만, CryptXXX 랜섬웨어 제작자의 거듭된 변화에 따라 현재 유포되는 CryptXXX 3.0 버전에 대해서는 복구툴이 공개되지 않은 상태입니다.

 

또한 기존에 공개된 CryptXXX 2.0 랜섬웨어 복구툴은 HWP 한글 문서와 같은 특정 파일은 해제가 제대로 이루어지지 않았는데, 안랩(AhnLab) 보안 업체에서 조금 더 개선된 CryptXXX 2.0 랜섬웨어 복구툴을 공개하였기에 살펴보도록 하겠습니다.

 

안랩(AhnLab) 제공 CryptXXX 랜섬웨어 복구툴은 CryptXXX 1.x 버전, CryptXXX 2.x 버전, CryptXXX 3.x 버전 중에서 CryptXXX 2.x 버전으로 암호화된 파일을 복구할 수 있으며, 대략적으로 2016년 5월 20일 전후 이전에 감염된 경우가 아닐까 추정됩니다.

 

 

"Removal Tool for CryptXXX Decryptor" 도구를 이용하여 .crypt 확장명으로 암호화된 파일이 저장된 폴더를 지정한 후 검사를 수행하면 복구 가능한 파일을 목록에 표시합니다.(※ 빠른 검사를 위해서는 복구가 필요한 .crypt 파일을 특정 폴더에 넣은 후 해당 폴더를 지정하여 검사하시기 바랍니다.)

 

단, 성공적인 복구를 위해서는 실행 중인 다른 응용 프로그램은 모두 종료한 상태에서 복구를 진행하시길 권장합니다.

 

 

이후 "전체치료" 버튼을 클릭하시면 파일 복원에 상당한 시간이 소요되므로 복원 과정 동안 복구툴이나 컴퓨터를 종료하지 않도록 안내 메시지를 표시합니다.

 

 

.crypt 확장명으로 암호화된 파일에 대한 복구가 진행되면 복원에 성공한 파일은 복원으로 표시되며, 복원이 이루어지지 않은 경우에는 복원 실패로 표시됩니다.

 

실제 복원이 완료된 후 확인을 해보면 복원된 파일은 정상적으로 열리는 것이 확인되었으며, Kaspersky 보안 업체에서 제공하는 복구툴에서 해제되지 않았던 HWP 한글 문서도 성공적으로 복원이 되었습니다.

 

 

이후 복원에 성공한 .crypt 파일은 삭제한 후 복원 실패한 파일에 대해서 재검사를 수행하여 반복적으로 복원을 시도해 보시면 성공적으로 복원이 될 수도 있다고 안랩(AhnLab)에서는 안내하고 있습니다.

 

단지 복구 대상 리스트에 포함된 jpg, png, mp3와 같은 일부 암호화된 파일이 반복적으로 복원이 이루어지지 않는 문제도 있으며, 안랩(AhnLab)에서는 복구되지 않는 암호화된 파일과 100% 동일하지는 않지만 백업 파일(원본 파일)이 있다면 함께 바이러스 신고센터에 전달해 줄 경우 분석을 통해 복구를 할 수 있도록 복구툴을 업데이트할 예정이라고 밝히고 있습니다.

 

그러므로 CryptXXX 2.x 버전으로 암호화된 랜섬웨어 피해자는 안랩(AhnLab)에서 제공하는 복구툴을 사용해 보시기 바랍니다.

 

 

참고로 현재 유포되는 CryptXXX 3.0 버전으로 암호화된 .crypt 확장명을 가진 파일을 통해 검사를 수행할 경우 "바이러스가 없습니다." 메시지와 같이 인식 자체를 못합니다.

  • 신종 랜섬웨어의 희생양 2016.05.26 21:38 댓글주소 수정/삭제 댓글쓰기

    2.0과 3.0은 어떻게 구별하나요?

  • 비밀댓글입니다

    • 해외 정보나 국내 정보를 보면 CryptXXX 랜섬웨어 제작자에게 돈을 보내도 제공되는 키로 복구에 실패한 사례도 있습니다.

      또한 제작자가 복구 모듈을 훼손당해서 자신도 복구를 하지 못한다는 분석도 있습니다. 현재로서는 돈을 보내도 100% 복구할 수 있다는 보장도 없으므로 기다려보시기 바랍니다.

  • 직접 돌려보니 RannohDecryptor로 복구되지 않던 일부 hwp, wmv, tif, bmp, xltx 파일들이 복구되었습니다..만, 말 그대로 일부만 복구되었습니다. 같은 확장자라도 복구되지 않은 파일들이 남아있네요.
    avi, txt 그리고 일부 xls/xlsx, hwp 파일들은 여전히 복구가 안 됩니다. 완벽한 복구툴은 조금 더 기다려야 할 것 같습니다.

  • 검은9월단 2016.05.27 10:23 댓글주소 수정/삭제 댓글쓰기

    와우! 저도 5/20일경에 cryptXXX 3.0(추정) 에 감염되어서 100G 정도 잠겨버렸는데
    카스퍼스키가 아닌 안랩에서 복구툴을 내놓았네요
    얼릉 집에 가서 해봐야겠습니다!!

  • 저는 3.0에 걸렸나봅니다...24일경이였거든요....돌려봐도 바이러스가 없다고만 나오네요
    새로운툴이 나올때까지 자주 방문하겠습니다.
    상당한 이해와 지식 얻고 갑니다. 감사합니다.

  • 이크이크 2016.05.27 13:00 댓글주소 수정/삭제 댓글쓰기

    랜섬웨어 진단으로는 2.0으로 나왔는데 이번 안랩으로 했을땐 바이러스가 없다고만 나오네요

    3.0이란 말인가요? 18일 정도 쯤에 걸린거 같은데 말입니다 미치겠네요 ㅠㅠ

    18일정도쯤에 걸린거라.. 아 미치네요

    벌새님 덕분에 그래도 많은 정보 얻어가고 있습니다 감사합니다


    아 그리고 랜섬웨어 감염 버전 체크하는 싸이트 주소 좀 부탁드립니다 찾을려고 하니 못찾겠네요 ㅠㅠ

  • 동영상은언제쯤 2016.05.27 16:40 댓글주소 수정/삭제 댓글쓰기

    저번에 이어서 좋은 글 감사합니다.
    Kaspersky 복구툴로 해결이 안된 몇몇 파일이 복구가 되었으나
    동영상만큼은 끝까지 복구가 안되네요...ㅜㅜ
    아무쪼록 좋은 글 다시한번 감사합니다.

  • 동영상은언제쯤 2016.05.27 16:42 댓글주소 수정/삭제 댓글쓰기

    아예 동영상파일은 인식조차 못하네요^^.....

  • 감사합니다 2016.06.02 18:50 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 덕분에 포기하고 있었는데 많은 자료를 복구할 수 있었습니다. (전 5월 12일쯤에 걸렸었습니다)
    근데 Kaspersky 껄로는 동영상 파일(avi, mp4, flv, wmv)들이 복구가 안되더라구요.
    동영상 포기하려다 AhnLab에서 나온걸 써보니 mp4나 flv, wmv는 복구가 됐습니다.
    가장 많은 파일인 avi 파일은 아직 두 프로그램 어느 것으로도 복호화가 안됐지만
    다른 확장자 영상이라도 복구하실 분은 안랩 추천드립니다. 얼른 avi파일도 완벽히 복구됐으면 좋겠네요

  • 궁금이 2016.06.04 17:41 댓글주소 수정/삭제 댓글쓰기

    바탕화면이 검게 되고 협박글로 바탕화면이 지정되어 있는데 물론 암호화 되어 있고요. 파일들이요.
    악성코드까지 삭제했는데 바탕화면은 계속 고정되어 있는데 이대로 바탕화면 이렇게 써야 되나요? ㅠㅠ
    프로그램 삭제도 하고 다 햇는데 원인이 뭔지 모르겠어요.
    컴터 부팅할때마다 불편한데 해결이 불가능할까요?

  • 매번 도움만 받습니다 꾸벅 2016.06.05 09:46 댓글주소 수정/삭제 댓글쓰기

    현재 카스퍼스키 것으로 일부 복구하였고, hwp도 xlsx화시켜서 카스퍼스키로 거의 복구하였습니다.
    그런데 안랩을 돌려보니 동시에 Appcheck에서 '랜섬행위 탐지 알림'이 반복적(띄엄띄엄 20번 정도?)으로 뜨면서 svchost.exe를 차단했다고 나오는데요, '자세히'를 눌러서 보면 검사결과에서는 '정상'으로 뜨는데, 검색해보니 랜섬이 주로 이 svchost를 통해 감염진행이 된다고 해서요ㅠㅠ
    나올때마다 svchost(****).exe 라고 나오면서 ****는 숫자가 계속 바뀝니다. 새로 랜섬이 들어오는 것이 아닐지 걱정이고ㅠ 안랩을 실행시 appcheck도 끄고 진행해야할지 고견 부탁드려요

  • 매번 도움만 받습니다 꾸벅 2016.06.05 09:57 댓글주소 수정/삭제 댓글쓰기

    네, 그렇군요, 그런데 벌새님, 지금 보니 지난주에 옮긴 D드라이브에 mp4 파일 3개가 cryp1 으로 바뀌어 있는데요, 또 새로운 것이 진행중일까요ㅠㅠ appcheck, mzk 는 다 설치해놨는데 어떻게 대처하는 것이 현명할까요? 그리고 appcheck 시스템 검사로는 위협 미발견이고, 자꾸 appcheck 실시간 검사가 저절로 꺼지는 현상이 있네요;

    • 여전히 감염 상태인지는 유명 백신을 통해 정밀 검사를 해보시기 바랍니다.

      앱체크 실시간 보호가 자꾸 꺼질 경우에는 https://www.checkmal.com/page/support/faq/?category=use#faq13 내용을 참고하여 덤프 파일과 로그 파일을 수집하여 안내 메일로 보내시기 바랍니다.

  • 누구냐 2016.06.19 21:47 댓글주소 수정/삭제 댓글쓰기

    와... 기술도 참 많이 발전했네... 이제 이런식으로 불쌍하게 해킹으로 돈버는 사람들도 일자리 찾아서 이제 해커들좀 없어졌으면 ㅠㅠ
    랜섬웨어때문에 컴이 지금 장난이 아닌데ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ