2015년 상반기부터 유포가 이루어진 CrySis 랜섬웨어 또는 Troldesh 랜섬웨어는 파일 암호화를 통해 금전을 요구하며 지속적으로 피해를 주고 있었습니다.
그런데 최근 정체를 알 수 없는 crss7777 닉네임을 사용하는 사용자가 CrySis 랜섬웨어에 의해 암호화된 파일을 복구할 수 있는 마스터 키를 공개함에 따라 Kaspersky 보안 업체에서는 Kaspersky RakhniDecryptor 파일 복구툴을 이용하여 "(원본 파일명).(원본 확장명).id-(Random).(이메일 주소).CrySiS" 또는 "(원본 파일명).(원본 확장명).id-(Random).(이메일 주소).xtbl" 패턴을 가진 암호화된 파일을 복구할 수 있게 되었습니다.
- .id-(Random).batman_good@aol.com.xtbl
- .id-(Random).grand_car@aol.com.xtbl
- .id-(Random).legioner_seven@aol.com.xtbl
- .id-(Random).ninja_gaiver@aol.com.xtbl
대표적인 CrySis 랜섬웨어 계열인 Troldesh 랜섬웨어에 감염되어 파일 암호화가 이루어질 경우 바로 가기 아이콘(.lnk)을 비롯한 문서, 사진, 음악, 압축 파일 등에 대한 광범위한 파일 암호화가 이루어지며, 특히 특정 위치에 존재하는 실행 파일(.exe)을 비롯한 모든 파일이 암호화 대상이 될 수 있습니다.
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to decrypt your files.jpg
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to decrypt your files.txt
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\(Random).exe
- C:\Windows\System32\(Random).exe
감염된 시스템 환경에서는 Windows 부팅 시마다 시작프로그램 폴더 영역에 추가된 랜섬웨어(Ransomware) 악성 파일과 메시지 파일을 통해 지속적인 파일 암호화 및 금전 욕구 메시지를 생성합니다.
또한 바탕 화면 사진을 "C:\Users\%UserName%\How to decrypt your files.jpg" 파일로 변경하여 특정 이메일 주소로 연락할 경우 파일 복구를 위한 방법을 전달받을 수 있다고 안내하고 있습니다.
위와 같은 형태의 CrySis 랜섬웨어 또는 Troldesh 랜섬웨어에 의해 암호화된 경우 "Trojan-Ransom.Win32.Rakhni decryption tool (RakhniDecryptor.zip 압축 파일)" 통해 다음과 같은 절차에 따라 파일 복호화를 진행할 수 있습니다.
참고로 Kaspersky RakhniDecryptor 복호화 도구는 CrySis 랜섬웨어 외에도 다양한 계열의 랜섬웨어(Ransomware)에 대한 파일 복구를 지원할 수 있습니다.
실행된 Kaspersky RakhniDecryptor 복호화 도구에서 "Change parameters" 메뉴를 실행하여 세부적인 검사 옵션을 변경할 수 있습니다.
설정(Settings)에서는 검사 위치와 파일 복호화 후 암호화된 파일을 자동 삭제 처리하도록 변경할 수 있습니다.
설정을 완료한 후 "Start scan" 버튼을 클릭하면 "Specify the path to one of encrypted files" 창을 통해 CrySis 랜섬웨어 등에 의해 암호화된 파일을 1개 찾아 선택하시기 바랍니다.
이후 검사 영역에 대한 자동 검사 및 파일 복호화가 진행되며 하드 디스크 용량 및 파일 수에 따라 상당 시간이 소요될 수 있습니다.
모든 검사 및 파일 복호화가 완료된 후 "details" 항목을 클릭하시면 세부적인 파일 복구 목록을 확인할 수 있습니다.
실제로 암호화된 파일과 복호화된 파일이 생성된 폴더를 확인해보면 완벽하게 파일이 복구된 것을 알 수 있습니다.
대표적으로 복호화된 MS Word 문서를 오픈해보면 정상적으로 문서가 오픈되는 것을 확인할 수 있었으며, 전체적으로 99% 이상의 수준으로 파일 복구가 이루어졌습니다.
단지 2015년 상반기경에 유포된 CrySis 랜섬웨어 초기 버전의 경우에는 해당 복구툴로 복구가 이루어지지 않을 수 있으며 최근까지 유포된 CrySis, Troldesh 랜섬웨어에 의해 암호화된 파일은 정상적으로 복구할 수 있습니다.
실제로 CrySis 랜섬웨어(Ransomware)의 경우 국내에서도 소수의 피해자가 존재한 것으로 보이며, 해외 감염자도 간혹 파일 복구에 대한 문의가 있었던 것으로 기억됩니다.
☞ TorLocker 랜섬웨어(Ransomware)로 암호화된 파일 복구툴 : ScraperDecryptor (2015.4.11)
☞ PClock2 랜섬웨어(Ransomware)로 암호화된 파일 복구툴 : Emsisoft Decrypter for PClock2 (2015.4.16)
☞ TeslaCrypt 랜섬웨어(Ransomware) 파일 복구툴 : Talos TeslaCrypt Decryptor (2015.5.25)
☞ BitCryptor, CoinVault 랜섬웨어(Ransomware) 암호화 파일 복구툴 : Kaspersky CoinVault Decryptor (2015.10.31)
☞ TeslaCrypt 랜섬웨어 시대의 종말과 복호화 도구 공개 (2016.5.19)