본문 바로가기

벌새::Security

Cerber 랜섬웨어(Red 버전) 암호화 파일 복구 방법 (2016.12.23)

국내에서 가장 많은 피해를 유발하고 있는 Cerber 랜섬웨어(Ransomware) 중 Cerber 4.x / 5.x 버전의 경우 비트코인(Bitcoin) 지불이 이루어지지 않는 경우 파일 복구 방법이 전혀 공개되어 있지 않은 상태입니다.

 

 

파일 암호화 후 변경되는 바탕 화면 배경 기준으로 녹색(Green) 메시지를 표시하는 Cerber 5.0.1 버전까지는 암호화 시작 과정에서 다음과 같은 기능이 수행됩니다.

 

 

Windows 운영 체제에서 제공하는 볼륨 섀도 복사본(Volume Shadow Copy) 서비스를 통해 시스템 복원을 할 수 없도록 WMI 명령줄 유틸리티를 통해 "C:\Windows\System32\wbem\WMIC.exe shadowcopy delete" 명령어가 수행됩니다.

 

 

이를 통해 Cerber 랜섬웨어 감염자가 파일 암호화 후 시스템 복원 기능을 실행하면 기존에 생성된 복원 지점이 모두 삭제되어 동작하지 않는 것을 알 수 있습니다.

 

 

그런데 2016년 12월 초부터 변경된 Cerber 랜섬웨어(일명 Red 버전)에 감염될 경우 볼륨 섀도 복사본(Volume Shadow Copy)을 삭제하지 않는 버그(Bug) 또는 기능이 빠진 상태로 파일 암호화가 이루어지고 있습니다.

 

 

이런 이유로 시스템 복원 기능을 통해 확인해보면 기존에 생성해둔 시스템 복원점이 정상적으로 표시되는 것을 알 수 있으며, 이를 통해 사용자는 생성되어 있는 시스템 복원점에 존재하는 암호화된 파일의 원본을 복구할 수 있습니다.

 

 

이전에 소개를 해드린 ShadowExplorer 프로그램은 생성되어 있는 시스템 복원점에서 특정 파일을 쉽고 빠르게 검색하여 개별 파일을 추출할 수 있는 무료 프로그램입니다.

 

 

 

예를 들어 C 드라이브에 위치한 문서 폴더에 저장된 문서, 사진 등의 파일이 Cerber 랜섬웨어에 의해 암호화된 상태에서 ShadowExplorer 프로그램을 실행하여 기존에 생성된 시스템 복원점을 오픈할 경우 원본 파일이 표시되는 것을 알 수 있습니다.

 

그 중 복구를 원하는 파일을 선택하여 마우스 우클릭을 통해 "Export..." 기능을 선택하여 임의의 폴더에 파일을 추출하시기 바랍니다.

 

 

ShadowExplorer 프로그램을 통해 복구된 한글 문서(.hwp)을 오픈해보면 암호화 이전의 상태로 생성된 것을 확인할 수 있습니다.

 

단, 해당 방법은 시스템 복원 기능이 반드시 활성화된 상태에서 기존의 복원 지점이 존재해야 한다는 조건이 있으며, 다중 파티션(드라이브)로 구성되어 있는 경우 시스템 복원 기능이 각 드라이브별로 생성되어 있어야 다른 드라이브도 복원이 가능할 수 있습니다.

 

차후 볼륨 섀도 복사본(Volume Shadow Copy) 삭제 기능이 Cerber 랜섬웨어에 다시 추가될 경우에는 사용할 수 없는 복구 방법이므로 2016년 12월 초부터 현재까지 Cerber 랜섬웨어 Red 버전에 의해 암호화된 경우 잘 활용해 보시기 바랍니다.

 

  • ShadowExplorer 이라는 프로그램은 처음 들어 보았네요.한번 사용을 해봐야 겠습니다.

  • 비밀댓글입니다

    • 1. 윈도우를 새로 설치한게 아니라 윈도우만 변경하신 듯 하네요. 그래서 기존의 감염 상태가 백업되어 진단된 듯 합니다.

      2. 포맷을 하시고 윈도우를 새로 설치하시면 깨끗한 상태가 됩니다.

      3. 가상 프로그램을 사용하시면 공유 폴더로 연결만 안하시면 안전합니다.

      4. 영향을 받을 수도 있습니다.

  • 비밀댓글입니다

    • 암호화되지 않은 파일은 그대로 사용하셔도 됩니다.

      암호화된 파일이라고 악성 파일로 변경된 것은 아닙니다. 단지 열 수 없다는 의미입니다.

  • 비밀댓글입니다

  • 비밀댓글입니다

  • 비밀댓글입니다

  • 병존 2017.01.05 20:24 댓글주소 수정/삭제 댓글쓰기

    어그저께 외국 사이트 구글링을 하다가 cerber 랜섬웨어 레드 버젼에 걸린것 같습니다.
    그런데 다행히도 문서폴더만 감염되고 나머지 폴더나 파일들은 멀쩡한거 같습니다.
    *알약에 신고하였는데 컴퓨터에 랜섬웨어가 자가 삭제된것으로 보여진다고 합니다.
    질문 1. 문서폴더를 복호화툴이 나올때까지 그대로 보관하고 기다리려고하는데 추가적인 감염이 발생할수 있는지요?
    질문 2. 백업을 하기위해 외장하드를 연결할시 문서폴더에 있는 'Read me'파일이 랜섬웨어가 되어 침입. 감염 시킬수 있는지요?
    질문 3. cerber 랜섬웨어가 제 컴퓨터를 휩슬고간 지금 제가 할수 있는 일이 있는지요? (ex. 감염된 레지스트리 삭제 or 숙주 파일 삭제 등)

    여러 질문을 드려서 죄송합니다.ㅜㅠ 쌓아논 자료들이 한꺼번에 감염당하니 멘탈이 붕괴되네요.ㅠㅠ 최고의 파워블로거님께 도움을 요청합니다.ㅠㅠ

    • 1. 감염 원인이 보안 취약점을 통해 웹 사이트 접속 시 자동으로 감염된 것으로 보입니다.

      그러므로 그대로 사용하시면 재감염이 또 발생할 수 있으므로 윈도우, Flash, 웹 브라우저 등을 항상 최신 업데이트하시기 바랍니다.

      * 랜섬웨어 예방법 : http://hummingbird.tistory.com/6176

      2. Read me 파일은 메시지 파일이지 암호화하는 악성 파일은 아닙니다.

      3. 1번 답변처럼 보안 업데이트를 하시기 바라며, 랜섬웨어 차단 프로그램(앱체크)을 추가적으로 사용하시기 바랍니다.

  • 비밀댓글입니다

  • andend 2017.01.08 22:10 댓글주소 수정/삭제 댓글쓰기

    안녕하세요, 레드버전(?) 감염되었고 shadow explorer 깔아서 실행했을 때 복구시점은 확인됩니다. 하지만 복원을 누르면 파일이 열리지 않거나 사진파일이 깨져서 나오는데 이 경우는 복원이 불가한 경우인가요? 좋은글 감사합니다 :)

  • cerbercival 2017.01.09 10:49 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 시스템 복원을 해제한 상태이고.. 구글링 하다가 레드버전에 감염되었고 시스템 복원도 못 할뿐더러 쉐도우 익스플로러 깔아서 열어보니 아주 깨끗하게 아무것도 뜨질 않네요 시스템 복원 해제가 되어 있으면 쉐도우 익스플로러도 불가능한가요?

  • 해결 2017.01.25 20:21 댓글주소 수정/삭제 댓글쓰기

    로컬디스크 c드라이브 복원지점 설정으로 되있는데
    shadow explorer 실행해보니 c드라이브는 안나타나고 d드라이브만 목록이 나타나네요
    이럴경우 어떻게 해야되나요?

    • C 드라이브 복원점이 살아있다면 윈도우에서 제공하는 시스템 복원을 진행해 보시는 것도 방법으로 생각됩니다.

      그 전에 D 드라이브쪽에서 복원할게 있으면 Shadow Explorer로 파일 복원을 먼저 해보시기 바랍니다.

  • cerbercival 2017.03.15 00:43 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 울지 않는 벌새님 저번에 댓글 한번 남겼었는데 여러 가지 의문점이 생겨서 다시 댓글을 답니다 만약. cerber 랜섬웨어 바이러스 프로그램을 가지고 있다면 복원 가능한가요? 요즘 랜섬웨어 바이러스 프로그램을 팔기도 한다고 하더라구요 거기다 복원 업체를 무조건 의심하는 건 아니지만 요즘 너도나도 비트코인을 주지 않으면 복원할 수 있는 방법이 없다고 못을 박고 어떤 곳은 해결이 되지 않으면 아예 돈을 받지 않겠다는 곳도 있더라구요 최근 유튜브에서 본 동영상인데 여러 지가 의문점을 갖게 하네요. https://www.youtube.com/watch?v=_rG_kOMUJDw

  • 유기현 2017.04.04 20:27 댓글주소 수정/삭제 댓글쓰기

    정말! 덕분에! 4일간 작업한 파일을 살렸습니다. 상급회사에 제출해야하는 파일이였는데 너무나도 감사드립니다. 왠만하면 눈팅만 하는 제가 댓글까지 남기게 되네요. 복 많이 받으세요~!!!

  • 감염1주일 2017.04.15 13:06 댓글주소 수정/삭제 댓글쓰기

    레드버전에 4월초 걸린듯 합니다. 시스템보호가 해제된 상태라 안될듯 하고요.. 궁금한 점은

    ㅁ직접 찍은 고용량 촬영본 MOV, mts가 많아요. 복원툴 구입해야 할듯합니다.ㅠㅜ
    ㅁ5일간 구입 1차 기한이란 게 CERBER의 복원툴 제공 주소로 접속하는 순간부터 카운트되는 걸까요?
    ㅁ요란한 바탕화면이나 바로가기 링크 뜨는 건 아직 없고 txt 파일로 개인 접속 주소 몇개가 제공..되어있고요. HTS파일은 혹시나 해서 아직 건들지 않았습니다.
    ㅁMZK, 앱체크, 알약등을 돌려서 일단 급한불을 껐거나 포맷, 재설치한 동일 PC에서 해제툴 작동이 가능할까요?
    주된 복구 대상은 그나마 C, D엔 없고 전체가 싹다 암호화 걸린 대용량 외장하드 한 개 입니다. 혹시나 복구툴과 감염 PC가 연동되는건가 해서 구입 전 감염 PC의 랜선만 뽑고 MZK, 앱체크 안돌리고 다른 네트워크 상의 PC, 노트북만 공유 폴더 지우고 MZK 돌린 상태입니다.

    기타
    ㅁ말썽있던 컴이 프린터 공유 등 겸사겸사 사무실에서 공동으로 늘 켜놓고 쓰던 낡은 PC인데 인터넷은 되는데 해당 PC 공유폴더 접근은 안되더더군요. 네트워크 새로고침 몇번하면 되는 별일 아닌 줄... 중요 백업용 외장하드를 그때 파일모으느라 붙여놓은 채 이틀여 켜있었나봅니다. 하필 운도 안따르고 시기를 놓쳤네요. 일단 타 PC에서 공유폴더 접근이 안되는 것도 전조 중 하나라는 걸 본의 아니게 알게됐구요.

    ㅁ마지막으로 작년에 MZK로 사무실 여러 컴퓨터 갱생시켜 드렸는데 제 외장이 당해버렸군요.ㅠㅜ MZK 감사히 잘 쓰고 있다는 말씀 남기고 싶었습니다.

    • Cerber 랜섬웨어에 감염되어 파일이 암호화된 경우 만약 돈을 지불하고 복구를 하실꺼라면 특히 기간이 다소 지났다면 지불 이전에 랜섬웨어 감염 안내 파일에서 제공하는 링크(HTS 파일 참조)를 통해 접속해서 상대방에게 지금 돈을 지불해도 복구 가능한지부터 체크를 받으시기 바랍니다.

      Cerber 랜섬웨어의 경우 공유 폴더가 존재할 경우 연결되면 암호화가 전파될 수 있지만 아마도 다른 기기로 전파되지는 않은 것으로 보입니다.

      암호화된 파일을 체크해서 복구 여부를 확인하므로 포맷했다고 복구되지 않는건 아닙니다.

      MZK 도구는 제가 제작한게 아니라 바이러스 제로 시즌 2 보안 카페(http://cafe.naver.com/malzero) 매니저님이 제작해서 제공하고 있습니다.

      잘 해결되시길 바랍니다.

  • 감염1주일 2017.04.17 04:03 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 일단 외장에 몰려있어서 보관해둘 참인데 주소 접속 후 5일 기간 카운트가 안되었어도 먼저 알아보는게 우선인가보네요.
    업체에선 카운트만 안되었으면 괜찮다고 하는데 꼭 그런것도 아니었군요.