본문 바로가기

벌새::Software

.crypt 파일 확장명으로 암호화된 CryptXXX 3.x 버전 복구 방법 (2016.6.4)

.crypt 파일 확장명으로 파일 암호화를 수행하였던 CryptXXX 랜섬웨어(Ransomware)는 Kaspersky, 안랩(AhnLab) 보안 업체에서 제공하는 복구툴을 이용하여 CryptXXX 1.x / 2.x 버전에 대해서는 어느 정도 복구가 이루어지고 있는 상태입니다.

 

 

하지만 2016년 5월 중하순경에 유포된 CryptXXX 3.x 버전의 경우에는 이전처럼 간편하게 복구할 수 있는 복구툴이 공개되지 않은 상태이며, Trend Micro 보안 업체에서 제공하는 "Trend Micro Ransomware File Decryptor" 복구툴을 통해 매우 제한적인 복구툴을 제공하고 있습니다.

 

이 글에서는 Trend Micro Ransomware File Decryptor 복구툴을 이용한 1차 복구와 개별 파일에 대한 2차 복구를 통해 JPG 사진 파일을 복구할 수 있는 방법에 대해 검토해 보도록 하겠습니다.

 

 

Trend Micro Ransomware File Decryptor 복구툴을 다운로드하여 실행할 경우 파일 검사 전에 최신 버전을 이용하도록 안내하고 있으므로 이전에 다운로드한 경우에는 반드시 Trend Micro 웹사이트를 방문하여 재다운로드하시기 바랍니다.

 

 

우선 ① Select the ransomware name 메뉴에서 "CryptXXX (V1, V2, V3)" 항목을 선택하시기 바라며, Trend Micro 보안 업체에서는 해당 복구툴을 통해서는 CryptXXX 3.x 버전의 경우 전체 파일을 복구해주는 방식이 아닌 부분적인 데이터를 복호화해준다고 언급하고 있습니다.

 

이런 문제로 인하여 1차적으로 Trend Micro Ransomware File Decryptor 복구툴을 통해 .crypt 파일 확장명으로 암호화된 파일의 코드를 수정한 후 전문적인 파일 복구 솔루션을 이용하여 추가적인 파일 복구를 하도록 안내하고 있습니다.

 

 

랜섬웨어(Ransomware) 종류를 선택한 후에는 ② Select the encrypted file or folder to start decrypting it 메뉴를 실행하여 복구를 원하는 .crypt 파일이 위치한 드라이브(폴더)를 지정하시기 바랍니다.

 

단, 복구의 편의와 시간 절약을 위해서는 .crypt 파일을 특정 폴더 하나에 넣은 후 해당 폴더를 지정하시는 것이 효율적이라고 생각됩니다.

 

 

실제 11개의 암호화된 .crypt 파일에 대한 복구를 진행할 경우 27분이 소요되었으며, 11개 중 7개의 파일에 대한 코드 수정이 이루어졌습니다.(※ 소요 시간은 PC 환경에 따라 매우 달라질 수 있을 것으로 생각됩니다.)

 

CryptXXX 3.x 버전에 감염되어 .crypt 파일 확장명으로 암호화된 파일 중 복구된 파일은 doc, hwp, ppt, rtf, bmp, jpg, mp3와 같은 확장명이었습니다.

 

 

1차적으로 복구된 JPG 그림 파일을 실행할 경우 그림과 같이 정상적인 JPG 그림 파일이 아님을 알 수 있습니다.

 

 

1차적으로 복구된 JPG 그림 파일을 열어보면 헤더(Header)부터 정상이 아니며, 2차 복구를 통해 정상적인 JPG 그림 파일로 복구를 해야 하는 상황입니다.

 

Due to the advanced encryption of this particular Crypto-Ransomware, only partial data decryption is currently possible on files affected by CryptXXX V3. After the partial data decryption, users may have to utilize a 3rd party corrupted file recovery tool (such as the open source program JPEGSnoop*) to try and recover the full file.

 

An example of this would be a photo or image file that is partially recovered to show parts of the image, but not the entire image. A user would then determine if the file is critical enough to utilize a 3rd party tool or seek assistance from an 3rd party professional file recovery service.

 

Unfortunately, Trend Micro Technical Support will be extremely limited in any sort assistance that can be provided regarding 3rd party file recovery.

Trend Micro 보안 업체에서 밝힌 CryptXXX 3.x 버전의 경우에는 고급 암호화 기술로 인하여 완벽한 복구툴 제작이 어렵다는 점을 언급하고 있으며, 제공되는 복구툴을 이용하여 부분적인 데이터 복호화 후 전문 파일 복구 도구를 이용하라고 안내하고 있습니다.

 

여기에서는 언급하는 전문 파일 복구툴은 삭제된 파일을 복구해주는 그런 프로그램이 아닌 훼손된 파일을 수정하여 정상적으로 열 수 있도록 하는 프로그램을 의미합니다.

 

 

개인적으로 JPG 그림 파일에 대한 복구를 진행해 보았으며, 다양한 JPG 그림 파일 복구툴 중에서 Art Plus Digital Photo Recovery 프로그램이 가장 확실한 그림 파일 복구가 가능할 것으로 판단됩니다.

 

단, 해당 프로그램은 유료 제품으로 평가판에서는 복구된 파일에 대한 미리보기만 제공할 뿐 파일 복구까지는 제공하지 않습니다.

 

 

실제 복구된 JPG와 원본을 Hash값으로 비교해보면 100% 정확하게 복구가 가능할 수 있음을 확인할 수 있었습니다.

 

이처럼 JPG 그림 파일 뿐 아니라 암호화된 각 파일 확장명을 복구할 수 있는 전문 파일 복구 제품을 이용하여 긴급하게 복구할 필요가 있는 파일을 복구해 보시기 바랍니다.

  • 이전 댓글 더보기
  • 하나 2016.06.06 01:23 댓글주소 수정/삭제 댓글쓰기

    Cryp1 확방자로 암호화 되었는데 위 프로그램으로 중요한 동영상파일 (mp4, avi) 복구하니 파일은 풀리는데 누르면 동영상이 실행되지가 않네요. 위 사진 복구프로그램 추천하신것처럼 동영상 복구 프로그램은 따로 없을까요? 유료도 상관없습니다 ㅠㅠ

    • 우선 반드시 Trend Micro 복구툴로 1차 해제를 한 후 파일 복구 프로그램으로 2차 복구를 해야하므로 처음에 풀린 파일을 실행해서는 정상적으로 동작하지 않습니다.

      또한 2차 복구 프로그램을 확인하기 위해서는 시간이 많이 필요합니다. 현재 제가 확인한 프로그램이 없어서 정보를 전달해 드리기 어렵습니다.

  • ㅠㅠ 2016.06.06 01:43 댓글주소 수정/삭제 댓글쓰기

    저도 방금 이걸로 cryp1 파일 몇 가지 돌려봤는데요! avi파일은 화면이 와장창 깨지긴 하지만 중간중간 형상은 보입니다! 근데 소리는 안 나오네요...ㅠㅠ 네이버에서 avi 파일 복구로 검색해서 프로그램 몇 개 돌려봤는데 avi파일이 아니라며 복구할 수 없다고 합니다ㅠㅠ 그치만 깨진 화면이라도 간간히 보이니 반갑네요ㅠㅠ
    (+추가:용량 작은 3메가짜리 avi파일로 실험하고 불안정하게라도 풀리길래 용량 큰 100메가짜리 avi 돌려봤는데 큰 건 재생이 안 되네요ㅠㅠ.....)
    (+추가2: 용량 큰 avi파일 곰플레이어에선 재생 안 됐는데 윈미플로 돌리니 용량 작은 avi처럼 깨진 화면으로나마 재생됩니다)

    그리고 mp3파일은 완전히 풀린 거 같아요! 끝까지 들어본 건 아니라서 확실하진 않지만 지금 듣고 있는데 소리가 잘 들립니다!!! 그리고 지금 wav파일 도전하고 있는데 성공하면 다시 댓글 쓰겠습니다!!!!!
    (+추가:wav파일은 복구 실패했습니다ㅠㅠ.... 몇 개는 아예 실패하고 몇 개는 복구가 되었는데, 재생하면 시간이 00:00으로 나오네요.. 파일 용량은 0이 아닌데요..)

  • nice1052@hanmail.net 2016.06.06 14:07 댓글주소 수정/삭제 댓글쓰기

    지난번에 CryptXXX 3.x 버전에 감염되어 아직 복구는 못한 상태인데요.. 위 프로그램으로 mp3같은경우는 복구는 되는데 완벽하진 않네요. 지지직소리가 중간중간 나는거 보니.. 다른파일은 안되는거 같구요.
    어차피 기다려야할듯요 ㅜ

    그런데 오늘 crypz 파일로 변경된 랜섬웨어가 감염되었네요. 나머지는 백업 시켜놓은 상태라 크게 지장받을 파일은 없으나 앞으로 예방이 문제입니다. AppCheck 안티랜섬웨어 제품도 설치해놓은 상태에서 걸린거라 복구가 된다해도 불안하네요. 업데이트도 자동으로 되지 않나요? 더이상 다른 예방프로그램은 없는건지요..?
    랜섬웨어 행위 탐지 되었다고 계속 뜨다가 다 감염된상태입니다. 다행인건 기존 감염된 파일은 변경된 파일로 재감염되진 않은것 같네요.

    • 랜섬웨어 감염으로 피해를 본 후 지속적으로 보안 업데이트를 제대로 하지 않으시니 반복적으로 감염이 되는겁니다.

      그러므로 윈도우, 웹 브라우저, Flash, Java, Silverlight와 같은 PC에 설치된 프로그램은 항상 최신 버전을 사용하시기 바랍니다.

      http://www.hauri.co.kr/Ransomware/

      그리고 하우리에서 제공하는 예방툴을 설치해 보시기 바랍니다.

  • 이크립스 2016.06.06 18:19 댓글주소 수정/삭제 댓글쓰기

    crypt 입니다 ㅜㅜ

    • 공실이 2016.06.07 09:58 댓글주소 수정/삭제

      혹시 어떻게 복구 하셨는지 알수 있을까요??ㅠㅠㅠㅠ사진이요ㅠㅠ

    • 지나가다 2016.06.07 10:19 댓글주소 수정/삭제

      공실이/ 지금 이 포스팅에 사진 복구에 대해 나와있잖아요. 프로그램까지 소개해 놓으셨는데 그거 따라해보시면 되는 거 아닌가요.

  • D쟈이너 2016.06.07 15:59 댓글주소 수정/삭제 댓글쓰기

    안녕하세요
    랜섬웨어 3.0에 감염된..한사람으로써
    개인 파일과 HWP, 엑셀파일, 캐드파일, 이미지 파일
    일부 모두 열리지 않는 상황입니다

    위에 복원툴로 이미지는 일부를 제외한 모두 복원에 성공을 하였습니다
    허나 HWP와 엑셀파일, 캐드파일은 복원까지 완료가 되었습니다만
    파일이 열리지 않는 상황입니다.

    전문툴을 사용하여 복원을 진행할지
    모두 복원해주는 툴이 나올때 까지 기다려야할지
    판단이 서질 않네요
    그런데 일부 한글파일과 엑셀파일이 복원되신분들도 있는것 같은데
    같은툴을 썼는데도
    복원되고 안되고가 차이가 잇는모양입니다..?

    • 수연 2016.06.08 00:09 댓글주소 수정/삭제

      안녕하세요 19살 고3입니다 도서관에서 usb를 쓴 후 제 노트북에 연결햇다가 지금 랜섬웨어3.0최신버전에 걸리게 되었는데요...저도 D쟈이너 님과 같이 모든 파일이 열리지 않고 있습니다. 제가 정말 답답한건 곧 10일 후 대학교 면접이 있는데, 그때 사용할 포트폴리오에 들어갈 실험사진들을 다 못쓰게 되었습니다... 저는 벌새님이 알려주신 복원툴로도 먹히지 않는데요 제가 방법을 잘 모르는건지... 파일을 선택하면 그냥 Scan completed만 뜨고 별다른 반응이 없네요... 다른 것 다 필요없고 실험사진들이라도 복구되었으면 좋겠습니다 어떻게 하면 이미지를 복원할 수 있나요...그냥 벌새님 포스트를 그대로 따라하셨나요..? 감사합니다

  • 제발 2016.06.07 16:11 댓글주소 수정/삭제 댓글쓰기

    벌새님? 현제 CRYPZ 감염된 파일은 복구가 안되는건가요?

    • 우선은 공개된 복구툴은 존재하지 않으며, 해외 정보에 의하면 CryptXXX 랜섬웨어에 돈을 지불하여도 그쪽 시스템 문제로 복구키를 통한 복구가 이루어지지 않는 문제가 발생한다고 합니다.

      그러므로 돈을 입금하셔도 복구가 이루어지지 않을 가능성도 있습니다.

  • 좋은 정보 정말 감사드립니다.
    저의 경우 중요한 사진들 우선 복원해보고자 하는데 위의 1차 복구까지는 진행이 되지만 Art Plus Digital Photo Recovery 7.0 버전을 실행시킨 결과 말씀하신 미리보기조차 나오지 않아 결재를 망설이고 있는 중입니다.
    미리보기가 되지 않는경우 복원가능성이 낮은것으로 봐야할까요? 무턱대고 결재하기가 조금 망설여 지네요.
    혹여 사진 복원관련 소개시켜 주실만한 다른 프로그램이 있다면 부탁드리겠습니다.
    감사합니다.

  • D쟈이너 2016.06.08 09:13 댓글주소 수정/삭제 댓글쓰기

    안녕하세요
    수연님..

    가뜩이나 대학입시 사진들인데
    저는 벌새님이 올려주신 대로 그대로 하였습니다
    시간은 다소 걸렸는데
    이미지는 90%이상 복구가 되었습니다.
    다시 한번 해보시는게 어떨까요.
    힘내세요..ㅠㅠ.
    일부 3.0 부분 복구툴로도 아침에 해봤는데 안되네요.

  • arch텍트 2016.06.08 10:06 댓글주소 수정/삭제 댓글쓰기

    저도 지난 5월 18일쯤 감염되어서 계속기다리다 이번글을 보고 기대감에 어제 퇴근부터 지금까지 복호와중인데 열리는 파일이 없네요.ㅠ
    여기서 그만둬야할까요. 16시간했는데 아직 1/3밖에 안됐거든요ㅠ
    하....

  • 신종 랜섬웨어의 희생양 2016.06.08 15:19 댓글주소 수정/삭제 댓글쓰기

    한글파일 된다고 해서 기대했으나
    .crypt(확장자) 지워진 파일만 새로 생기고,그 파일 열어봐도
    복구 전 감염 파일과 마찬가지로
    이상한 기호들로 여전히 도배돼있는 상태네요.ㅠㅠ

    복구 전 감염된 파일 열어보려고 연결 프로그램을 "한글 프로그램"으로 해놓은 상태였는데,
    이게 복구하는 거에 영향을 끼친 걸까요?

  • 엉엉 2016.06.08 16:21 댓글주소 수정/삭제 댓글쓰기

    엑셀파일이 손상된 상태로 나오는데 복구 프로그램은 알수없나요?ㅠㅠ

  • 1달째 고생중 2016.06.08 16:51 댓글주소 수정/삭제 댓글쓰기

    안랩에서 Cryptxxx 3.x 에 대해서 부분복구툴을 오픈하였는데, 좀 더 기다리면 다 복호화할프로그램이 나올 가능성은 없을까요? 딱히 당장 필요한건 없는데 추억들이 없어진다생각하니 마음아프네요

    • 차후에 더 많은 확장명을 가진 파일에 대한 부분 복구툴은 나올 수 있지만 결국에는 비밀키를 알아야하는데 이 부분은 해결이 안될겁니다.

  • 행방불명 2016.06.08 20:32 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 벌새님.
    5월 중순 중에 crypt에 감염되어 여기 저기 찾아보다가 벌새님 포스팅을 보게되었고 랜섬웨어에 관한 많은 정보를 얻고 있습니다.
    눈팅만 하다 항상 좋은 정보를 제공해 주셔서 감사하다는 말씀 드리려 글 남겨봅니다.
    저도 아직 복구를 하지 못하고 있는 상황이지만, 올려주시는 글들을 보고 조그마한 희망을 가져보고 있습니다 하하;
    좋은 정보 제공해 주셔서 항상 감사드립니다!! (이 포스팅에 올려진 것 따라 해보아야겠습니다 ㅠ_ㅠ)

  • CRYPZ 2016.06.12 20:08 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 벌새님.
    며칠전에 crypz 랜섬웨어 걸려서 해결책을 찾다가 들오게되었습니다.
    비록 해결은 못하였지만 많이 배우고 갑니다.
    궁금한점은 crypz로 검색하면 보안업체에서 해결해준다고 광고가 많이 올라와 있는데 믿을 수 있는걸까요?
    안랩이나 카스퍼스키에서도 못 해결책이 없는데 일반 보안업체에서는 어떤식으로 복구하는 걸까요?

    • 아마도 랜섬웨어 제작자들에게 돈을 보내고 복구키를 받아서 복구해주는 데이터 복구 대행업체들의 광고를 보신 것 같습니다.

      그냥 기술이 있는 것이 아니라 랜섬웨어 비용에 자신들의 수고비를 추가하여 장사하는 것입니다.

  • 힘든하루하루 2016.06.12 21:32 댓글주소 수정/삭제 댓글쓰기

    안녕하세요
    crypt 3.0에 모든 사진이 암호화되어서 말씀하신대로 1차복구는 되었는대 그림파일을 2차로 말씀하신 프로그램 7.1정식버젼으로 복구을
    해보았지만 여전이 읽지 못하네여 테스트하신 프로그램이 버젼이 어찌되는지 문의드립니다.

  • 들고양이 2016.06.16 18:14 댓글주소 수정/삭제 댓글쓰기

    crypt 3.0 감염되었고 말씀하신 1차 복구는 하였으나 2차 복구는 하지 못하였습니다.
    저같은 경우 예전 강의 동영상이 있어 살려보려 했으나 확장자만 변할 뿐 재생이 되지 않더라구요.
    혹시 동영상의 경우 복구성공 해보셨는지 궁금합니다.
    영화나 이런거라면 다시 받거나 구하면 되겠지만..
    2차복구 없이 바로 복호화 할 수 있는것은 아직이겠죠?
    안랩의 경우 jpg,psd등 꼭 필요한 확장자는 또 지원을 해주지 않더라구요.

  • 고운소나무 2016.06.21 21:12 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.
    벌새님 덕분에 1차 복구까지는 진행 되었는데 2차 복구에서 잘 안되어서 문의 드립니다.
    테스트 삼아 5~6개 파일만 USB에 담아 1차 복구했더니 약간 깨진 파일 처럼 보이길래
    알려주신 Art Plus Digital Photo Recovery 프로그램을 통해 2차 복구를 진행하였는데
    정작 1차 복구한 파일이 복원되지 않고 예전 USB에서 삭제했던 사진들을 복구하네요 ㅠㅠ
    혹시 1차 복귀된 파일을 별도 지정해서 복구할 수 있는 방법이나 혹시나 제가 잘못 프로그램을
    사용했는지 문의드립니다.

    • 제가 추가적으로 조언을 드릴 부분은 없어 보입니다. 2차 복구가 완벽하게 이루어질 수도 있지만 질문하신 분처럼 그렇게 될 수도 있어 보입니다.

  • 저는 3.0에 걸렸습니다. 사진일을 하고 잇어서..사진 복구가 시급한데...가느다란 희망을 가지고 오늘 글 대로 도전해보려구요. ㅠㅠ

  • 그러게요 ㅠㅠ 돈을 내도 복구 어렵다고 해서 이 방법을 써본건데.. 안되네요. 다시 프로그램 찾아보고 있어요.

  • CryptXXX 3.0 2017.06.21 10:27 댓글주소 수정/삭제 댓글쓰기

    요즘 들어와 보실지 모르겠지만,,
    혹시 이 시기에 랜섬웨어 걸리셨던 분들(CryptXXX 3.0) 중 아직 .crypt 파일과 !Recovery_숫자영어조합.html 또는 !Recovery_숫자영어조합.txt 파일을 갖고 계신 분은
    http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.zip
    (Kaspersky의 Decryptor 1.9.6.1 버전) 을 받으셔서 복호화 할 수 있습니다.
    저는 오늘 발견해서 1년 만에 잠겨있던 파일들을 풀었습니다 ㅜㅜ. txt, xlsx, doc, hwp 등 문서파일과 jpg,bmp,png 등 이미지파일, avi,mp4,mkv 등의 동영상 파일 모두 복호화 되며, 제 경우에는 암호화 됐던 것의 90%정도 복호화에 성공했습니다 ㅜ.ㅜ 복호화 되는 것은 완벽하게 복원 되는 것을 확인했습니다. 사용방법은 다음과 같습니다.
    1. Start Scan 누르시면 특정 encrypted 파일을 골라 달라고 해서 아무 .crypt 파일을 선택해줬고,
    2. 보통 ransome note라는 것을 선택해달라고 이어서 뜹니다. 여기서 이놈들이 협박하는 글이 써져 있던 위의 !Recovery_숫자영어조합.html 또는 .txt 파일을 골라주시면 그 key를 알아서 분석해주더라구요. 그러면 알아서 .crypt파일을 찾아 decrypt 해주는데,
    3. 만약 위 2번까지 방법으로도 안 된 .crypt 파일 중에서도 특정 파일은 다시 1번단계를 거쳐 2번 단계에서 Original file을 요구하는 것도 있었습니다. 물론 저는 이 원본파일이 없어서; 이 파일은 복구하지 못했습니다. 다행히도 1개의 파일에 불과해서..
    기타 상세는 https://support.kaspersky.com/viruses/disinfection/8547#block1 에 가보셔서 참고하실 수 있습니다(영어입니다.)

    중요한 파일 아직 보존하고 계시는 분들 꼭 봉인해제 하시길 바랍니다! 전 작년 이맘때에 당한 이후부터는 웹클라우드와 외장하드를 통해 이중백업을 하네요... 모두들 자료를 꼭 지키세요!