2016년 11월경에 출현한 Dharma 랜섬웨어(Ransomware)는 기존의 CrySis 랜섬웨어의 변종으로 보안에 취약한 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 통해 접근하여 파일 암호화를 통해 금전을 요구하는 것으로 알려져 있습니다.
그런데 최근에 Dharma 랜섬웨어(Ransomware)의 마스터 키가 유출되어 Kaspersky RakhniDecryptor 파일 복구툴(1.17.17.0 버전 기준)에 적용되었으며, 이를 통해 "(원본 파일명).(원본 확장명).[이메일 주소].dharma" 형태(※ 예시 : (원본 파일명).(원본 확장명).[tombit@india.com].dharma)로 암호화된 파일에 대한 복구가 가능하게 되었습니다.
- C:\Users\%UserName%\AppData\Roaming\(Random).exe
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\(Random).exe
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\-Decryption instructions.jpg
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\-Decryption instructions.txt
- C:\Windows\System32\(Random).exe
Dharma 랜섬웨어(Ransomware)에 감염되어 파일 암호화가 완료될 경우 금전을 요구하는 랜섬웨어 메시지 파일(-Decryption instructions.jpg / -Decryption instructions.txt)과 바탕 화면이 변경될 수 있습니다.
특히 CrySis 랜섬웨어와 Dharma 랜섬웨어 계열은 문서, 사진 등의 파일 외에도 PC에 설치되어 있는 다양한 소프트웨어 파일(dll, exe, sys 등) 다수를 암호화하여 실제 감염된 경우 제어판이 실행되지 않는 등의 포맷을 요구하는 수준의 시스템 문제를 유발할 수 있습니다.
위와 같이 Dharma 랜섬웨어(Ransomware)에 감염되어 파일 암호화 피해를 당하신 분들은 Kaspersky RakhniDecryptor 파일 복구툴을 다운로드하여 RakhniDecryptor.exe 파일을 실행하시기 바랍니다.
실행된 Kaspersky RakhniDecryptor 복구툴의 "Change parameters" 메뉴를 실행하여 암호화된 파일이 위치한 특정 위치를 설정하시기 바랍니다.
만약 드라이브 전체가 아닌 특정 폴더에 암호화된 파일을 모아둔 경우에는 Hard drives, Removable drives 체크 박스를 해제한 후 "Add object..." 버튼을 클릭하여 특정 폴더를 지정하시기 바랍니다.
검사 설정이 완료된 후 "Start scan" 버튼을 클릭하면 암호화된 파일 1개를 지정하도록 창이 생성되므로 특정 (원본 파일명).(원본 확장명).[이메일 주소].dharma 파일을 선택하시기 바랍니다.
이후 자동으로 암호화된 파일에 대한 복호화가 완료된 후 검사 결과를 확인해보면 모두 복호화가 이루어진 것을 알 수 있습니다.
실제로 복호화된 폴더를 확인해보면 암호화된 파일과 복호화된 파일이 생성되어 있는 것을 확인할 수 있습니다.
Kaspersky RakhniDecryptor 복구툴을 통해 복호화된 파일을 실행해보면 정상적으로 문서가 오픈되는 것을 확인할 수 있습니다.
앞서 언급한 것처럼 CrySis 랜섬웨어와 Dharma 랜섬웨어 계열은 파일 암호화 과정에서 다양한 응용 프로그램 관련 파일까지 암호화하여 프로그램 실행에 오류를 유발하며 프로그램 제거도 되지 않을 수 있으므로 감염되지 않도록 각별히 신경쓰시기 바랍니다.