2016년 11월경에 출현한 Dharma 랜섬웨어(Ransomware)는 기존의 CrySis 랜섬웨어의 변종으로 보안에 취약한 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 통해 접근하여 파일 암호화를 통해 금전을 요구하는 것으로 알려져 있습니다.

 

 

그런데 최근에 Dharma 랜섬웨어(Ransomware)의 마스터 키가 유출되어 Kaspersky RakhniDecryptor 파일 복구툴(1.17.17.0 버전 기준)에 적용되었으며, 이를 통해 "(원본 파일명).(원본 확장명).[이메일 주소].dharma" 형태(※ 예시 : (원본 파일명).(원본 확장명).[tombit@india.com].dharma)로 암호화된 파일에 대한 복구가 가능하게 되었습니다.

 

 

  • C:\Users\%UserName%\AppData\Roaming\(Random).exe
  • C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\(Random).exe
  • C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\-Decryption instructions.jpg
  • C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\-Decryption instructions.txt
  • C:\Windows\System32\(Random).exe

 

Dharma 랜섬웨어(Ransomware)에 감염되어 파일 암호화가 완료될 경우 금전을 요구하는 랜섬웨어 메시지 파일(-Decryption instructions.jpg / -Decryption instructions.txt)과 바탕 화면이 변경될 수 있습니다.

 

 

특히 CrySis 랜섬웨어와 Dharma 랜섬웨어 계열은 문서, 사진 등의 파일 외에도 PC에 설치되어 있는 다양한 소프트웨어 파일(dll, exe, sys 등) 다수를 암호화하여 실제 감염된 경우 제어판이 실행되지 않는 등의 포맷을 요구하는 수준의 시스템 문제를 유발할 수 있습니다.

 

위와 같이 Dharma 랜섬웨어(Ransomware)에 감염되어 파일 암호화 피해를 당하신 분들은 Kaspersky RakhniDecryptor 파일 복구툴을 다운로드하여 RakhniDecryptor.exe 파일을 실행하시기 바랍니다.

 

 

실행된 Kaspersky RakhniDecryptor 복구툴의 "Change parameters" 메뉴를 실행하여 암호화된 파일이 위치한 특정 위치를 설정하시기 바랍니다.

 

 

만약 드라이브 전체가 아닌 특정 폴더에 암호화된 파일을 모아둔 경우에는 Hard drives, Removable drives 체크 박스를 해제한 후 "Add object..." 버튼을 클릭하여 특정 폴더를 지정하시기 바랍니다.

 

 

검사 설정이 완료된 후 "Start scan" 버튼을 클릭하면 암호화된 파일 1개를 지정하도록 창이 생성되므로 특정 (원본 파일명).(원본 확장명).[이메일 주소].dharma 파일을 선택하시기 바랍니다.

 

 

이후 자동으로 암호화된 파일에 대한 복호화가 완료된 후 검사 결과를 확인해보면 모두 복호화가 이루어진 것을 알 수 있습니다.

 

 

실제로 복호화된 폴더를 확인해보면 암호화된 파일과 복호화된 파일이 생성되어 있는 것을 확인할 수 있습니다.

 

 

Kaspersky RakhniDecryptor 복구툴을 통해 복호화된 파일을 실행해보면 정상적으로 문서가 오픈되는 것을 확인할 수 있습니다.

 

앞서 언급한 것처럼 CrySis 랜섬웨어와 Dharma 랜섬웨어 계열은 파일 암호화 과정에서 다양한 응용 프로그램 관련 파일까지 암호화하여 프로그램 실행에 오류를 유발하며 프로그램 제거도 되지 않을 수 있으므로 감염되지 않도록 각별히 신경쓰시기 바랍니다.

 

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..

댓글을 달아 주세요

  • 하염없이 2017.03.14 12:16  댓글주소  수정/삭제  댓글쓰기

    정말 의로운 분이십니다 ㅎ
    작년에 랜섬웨어에 공격받고 일반 백신으로는 무용지물이라는것을 깨닫고
    앱체크 를 설치하면서 알게된 벌새님
    아직 이렇게 복구툴을 준비를 해주시어 너무나 감사한 마음에 댓글을 답니다
    저두 여의치 않아 어떻게 도움을 드릴수 없다는것이 참 마음아프네요
    어떻게든 건강하시고 가정에 화목이 함께 하시길 바랍니다 ㅎㅎㅎ

    저는 CERBER 피해자 입니다 .a734 확장자 ㅜ
    혹시 복구툴 소식이 어떻게 되는지 작게나마 알수 있을까요?

    • BlogIcon 울지않는 벌새 2017.03.14 13:36 신고  댓글주소  수정/삭제

      현재 Cerber 랜섬웨어는 복구 방법이 존재하지 않으며, 단지 시스템 복원 기능이 켜져 있는 경우에는 http://hummingbird.tistory.com/6536 방식으로 복구 가능할 수도 있습니다.

  • 랜섬웨이 피해자 2017.11.03 19:33  댓글주소  수정/삭제  댓글쓰기

    와 감사합니다. 이걸로 사진 복구했네요.. 와 감사합니다

  • 쓰리수대디 2018.05.12 07:21  댓글주소  수정/삭제  댓글쓰기

    Dharma계열의 랜섬웨어로 확장자가 arrow로 변경되는 랜섬웨어에 걸렸습니다. 이것도 치료가 가능한지요?