본문 바로가기

벌새::Software

한국을 표적으로 한 Magniber 랜섬웨어(README.txt / READ_ME.txt) 복구툴 정보 (2018.4.2)

2017년 10월 중순경부터 한국어 운영 체제에서만 파일 암호화 행위가 이루어지는 Magniber 랜섬웨어(Ransomware)는 보안 패치가 제대로 이루어지지 않은 PC 환경에서 웹 사이트 접속 시 취약점(Exploit)을 통해 자동 감염되는 방식으로 현재까지 꾸준하게 유포되고 있습니다.

 

 

그런데 안랩(AhnLab) 보안 업체에서 최근 유포되는 Magniber 랜섬웨어의 암호화 방식의 약점을 확인하여 무료로 복구할 수 있는 복구툴을 공개하였습니다.

 

단지 기존에 유포된 Magniber 랜섬웨어 중 "_HOW_TO_DECRYPT_MY_FILES_<Random>_.txt, READ_ME_FOR_DECRYPT_<Random>_.txt, READ_ME_FOR_DECRYPT.txt, READ_FOR_DECRYPT.txt" 메시지 파일을 생성하였던 변종은 복구를 할 수 없으며, 최근에 파일 암호화 후 생성되는 READ_ME.txt, README.txt 메시지 파일이 생성되는 경우에만 복구가 가능합니다.

 

안랩(AhnLab)에서 공개한 정보를 참고해보면 파일 복구를 위해서는 반드시 키(Key)값과 벡터(Vector)값을 사용자가 알고 있어야 합니다.

 

 

기본적으로 벡터(Vector)값은 Magniber 랜섬웨어 감염으로 생성된 README.txt 파일에 표시된 URL 주소의 뒷자리 값으로 사용자가 쉽게 확인할 수 있습니다.

 

하지만 사용자는 기본적으로 암호화된 파일 확장명과 벡터값만 확인이 가능하며, 암호화에 사용된 공개키 정보는 알 수 없기에 안랩(AhnLab) 블로그에서는 지속적으로 복구 가능한 확장명을 기준으로 키 정보를 공개할 예정이라고 합니다.

 

이에 안랩(AhnLab)에서 공개한 Magniber 랜섬웨어 복구툴을 이용하여 현재 공개되지 않은 다른 변종 파일에 의해 암호화된 파일이 복구 가능한지 확인해 보도록 하겠습니다.

 

 

2018년 4월 2일경에 유포된 Magniber 랜섬웨어 변종에 의해 암호화된 파일은 .hxzrvhh 확장명으로 암호화가 이루어졌습니다.

 

유포 날짜

메시지 파일명

암호화된

파일 확장명

키(Key)

벡터(Vector)

11월 8일

(복구 정보)

READ_ME_FOR_DECRYPT.txt

.madrcby

E897q5ym6cN4g2iE

b73lY4SygK8SmOw8

1월 17일

(복구 정보)

READ_FOR_DECRYPT.txt

.iceitjjo

s528qn9ruSa9M4tY

i8qi3H729YU7Yg82

3월 1일

READ_ME.txt

.errdpty

WBg1ei772y256459

Ax1149q0PObc9xT3

3월 11일

READ_ME.txt

.qbzzaflts

m4PHtC0FAD8Rd13J

ze1I2xA25x0390T8

3월 24일

README.txt

.uqpupoubk

n0234ou8dG2852Y3

m67a2Cq9Wgxm3J9L

3월 29일

README.txt

.zuqpqkz

MexXih15d326BEG7

e1hR8O67aT39006b

3월 29일

README.txt

.qtbwzam

GVgX3hd0i8248Xn9

RhpL7f0yM4447Yr9

3월 30일

README.txt

.vrwmlmbpk

i2700c80Mh2Dy5Hs

gz4790A6X62633ZR

3월 31일

README.txt

.xxzbrah

zTLBP5mJvj5U13n3

EBW2TOs0n93TFYE6

4월 1일

README.txt

.ezjasdu

Tn6253SfxZaheR41

D7R66y1724z89M2l

4월 1일

README.txt

.ctffcqen

s8K86k5Q6n7R06L9

K06296slW865E063

4월 1일

README.txt

.varulgaej

E8dO5A041a5D48o8

N4561H6O19SK0YV0

4월 2일

README.txt

.hxzrvhh

EsoNSQ0oaSE614v1

lEF91UX3DHb1N194

4월 2일

README.txt

.vcjxopq

RA34I1F35XY29x10

tS3Fd3IfJKSw7918

4월 3일

README.txt

.gcwssbfuw

B4484pQ2w3y6Icq6

X0x117b1Um535FD8

4월 3일

README.txt

.jxrhgat

CZH7Fy6Q537ycWX3

R9Ltm45J2oVk7ciZ

4월 3일

README.txt

.qgsxyzidg

g5eIdGlVqO9s1Naj

Nu4996t2h6m7K3bx

4월 3일

README.txt

.jozncdx

cPlE6aA609HJKmfH

GQ7682r13624LE1c

4월 3일

README.txt

.uipdyyfsg

yT0iVg38r9E4ksYZ

jb6Q72q32Gd5G7M1

4월 3일

README.txt

.fhpjvusz

Ux4ZsI528bbFYa3I

XB9z02e1nvz09k9y

4월 4일

README.txt

.wqtmfil

EL76Wn6uIRI73Yfj

TE515HQ571it4f04

4월 4일

README.txt

.veidrssph

G8DPM9P4Qy3259e7

j6IGQx4k52C7Tc2I

 

4월 5일

README.txt

 

.ddvzdmh

 

is45bpE4yVN50Ah4

 

jq6l9N5QxJG6O61F

4월 5일

README.txt

.ptqzmpr

NK57S333676TR452

WB7Nd859MS90Q017

4월 5일

README.txt

.piouqjwhh

i1438z9Vf3G7oECJ

m5T03C6u8GEd10A4

4월 5일

README.txt

.ywxhyjp

MWdYs0RT9ga0460X

SCB3337m5450g8s2

 

Magniber 랜섬웨어 복구툴을 임의의 폴더에 다운로드한 후 실행을 위해서는 명령 프롬프트를 "관리자 권한으로 실행"하시기 바랍니다.

 

 

이후 Magniber 랜섬웨어 복구툴이 위치한 폴더로 지정(※ 예시 : CD "Magniber 랜섬웨어가 위치한 폴더명")하시기 바랍니다.

 

■ 암호화된 개별 파일 복구 방법

 

 

Magniber 랜섬웨어에 의해 암호화된 파일 중 사용자가 특정 암호화된 파일만을 복구하는 방법입니다.

 

 

CMD 명령 프롬프트 창에 MagniberDecryptV3 /f "암호화된 파일 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vector)> 방식으로 정보를 입력하시기 바랍니다.

 

MagniberDecryptV3 /f "D:\원본 폴더\원본 사진.bmp.hxzrvhh" /e hxzrvhh /k EsoNSQ0oaSE614v1 /v lEF91UX3DHb1N194

 

정상적으로 값이 입력된 경우 암호화된 파일(.hxzrvhh)이 복호화되어 원본 파일이 생성된 것을 확인할 수 있습니다.

 

■ 특정 폴더 내의 파일 전체를 복구하는 방법

 

Magniber 랜섬웨어에 의해 암호화된 파일을 사용자가 특정 폴더 내에 모두 넣은 후 파일들을 일괄적으로 복구하는 방법입니다.

 

 

CMD 명령 프롬프트 창에 MagniberDecryptV3 /d "암호화된 파일이 존재하는 폴더 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vector)> 방식으로 정보를 입력하시기 바랍니다.

 

MagniberDecryptV3 /d "D:\원본 폴더" /e hxzrvhh /k EsoNSQ0oaSE614v1 /v lEF91UX3DHb1N194

 

 

정상적으로 값이 입력된 경우 암호화된 파일(.hxzrvhh)이 복호화되어 원본 파일이 생성된 것을 확인할 수 있습니다.

 

이번에 공개된 안랩(AhnLab)에서 제공하는 Magniber 랜섬웨어 복구툴은 조만간 랜섬웨어 유포자들이 암호화 키 방식을 바꿀 가능성이 존재하므로 언제까지 유효할지 알 수 없지만 피해를 입은 분들은 공개되는 정보를 참고하여 복구해 보시기 바랍니다.

 

참고로 만약 키(Key), 벡터(Vector) 정보가 공개되지 않아서 복구에 어려움이 있으신 분들은 암호화된 파일의 "수정한 날짜" 정보(파일 암호화가 이루어진 날짜), 암호화된 파일 확장명 정보를 전달해 주시면 랜섬웨어 악성 파일을 찾아서 복구 가능 여부를 검토해 드리도록 하겠습니다.

 

 

마지막으로 Magniber 랜섬웨어 감염 방식에 대한 자세한 내용을 공개한 체크멀(CheckMAL) 블로그 내용을 확인하여 감염되지 않도록 사전에 예방하시기 바랍니다.

 

 Magniber 랜섬웨어(READ_ME.txt)에 의해 암호화된 파일 복구 가능성 확인 (2018.4.7)

 

Magniber 랜섬웨어에 의해 암호화된 파일 중 READ_ME.txt 메시지 파일이 생성되는 일부 변종에 대해서도 복구 가능한 것으로 확인되고 있으므로 관련 랜섬웨어에 암호화된 분들이 있는 경우 암호화된 날짜 및 시간, 암호화된 파일의 확장명을 전달해 주시면 검토해 드리겠습니다.

 

 Magniber 랜섬웨어 벡터(Vector)값 변경에 따른 파일 복구 어려움 예상 (2018.4.9)

 

 
안랩(AhnLab) 보안 업체에서는 2018년 4월 9일경부터 유포되는 Magniber 랜섬웨어에 의해 파일 암호화될 경우 복구에 필요한 벡터(Vector)값을 동일한 확장명에서도 가변적으로 사용하도록 변경함에 따라 파일 복구가 어렵게 되었으며 현재 추가적인 연구가 이루어지고 있다고 밝히고 있습니다.

 

그러므로 4월 9일경부터 암호화된 피해자에 대한 복구 방법은 현재 빠른 시간 내에 키를 추출하기 어려우므로 암호화된 파일을 따로 백업해 두시기 바랍니다.

 

또한 Magniber 랜섬웨어에 의한 피해를 당하지 않도록 Windows 업데이트를 통해 제공하는 보안 업데이트 및 Adobe Flash Player를 최신 버전으로 유지하시기 바라며, AppCheck 안티랜섬웨어 프로그램을 추가적으로 설치하여 다양한 랜섬웨어 변종에 감염되지 않도록 예방하시기 바랍니다.

 

단, 랜섬웨어 파일만 있다면 키를 찾는데 시간은 다소 걸릴 수 있지만 복구에는 문제가 없는 것으로 확인되고 있습니다.

  • 이전 댓글 더보기
  • 경후 2018.04.09 15:04 댓글주소 수정/삭제 댓글쓰기

    확장자 ( .htrsvkhnj ) 키값 구할구 있나요?

    • 아쉽게도 해당 파일은 확인되지 않습니다.

      혹시 "C:\Users\Public(공용)" 폴더에 .exe 악성 파일이 존재한지 확인하여 파일이 있다면 압축(암호 추가)하여 저에게 보내주시기 바랍니다.

      http://hummingbird.tistory.com/notice/911

  • 정영 2018.04.09 15:08 댓글주소 수정/삭제 댓글쓰기

    도와주세요 ㅠㅠ
    랜섬인가 걸린거 같아서 C드라이브를 포멧을 했습니다.
    D드라이브에 자료를 보니까 이상한 확장자로 변경 되어 있습니다.
    확장자 : htrsvkhnj 입니다.
    D드라이브 자료를 살려야 하는데 우찌 하면 살릴수 있나요?ㅠㅠ

    • 아쉽게도 해당 파일은 확인되지 않습니다.

      혹시 "C:\Users\Public(공용)" 폴더에 .exe 악성 파일이 존재한지 확인하여 파일이 있다면 압축(암호 추가)하여 저에게 보내주시기 바랍니다.

      http://hummingbird.tistory.com/notice/911

  • 도움이 필요한사람 2018.04.09 15:53 댓글주소 수정/삭제 댓글쓰기

    안녕하세요
    저는 4월9일 감염되었구요
    Readme파일의 url끝자리는kyxrmakd 입니다.
    확장자는 kyxrmakd 입니다.
    exe 파일은 사용자/공용 폴더에 찾아보니 없네요. 삭제 된 것 같습니다
    도와주세요

  • 부탁드립니다.ㅠ 2018.04.11 19:24 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.
    3월 29일 감염되었구요..
    확장자 epmdxrog 입니다.. url 끝자리 벡터값(?)은 e73aBs0Em82U5677

    입니다.. 필요한 파일들만 백업하고 하드디스크를 포맷해서 다른 파일은 찾을수가 없네요..ㅠ

    • 안녕하세요.

      문의하신 .epmdxrog 확장명으로 암호화하는 랜섬웨어 악성 파일이 확인되지 않아서 현재로서는 키를 전달해 드릴 수 없습니다.

      단지 안랩(AhnLab)에서 조만간 3월에 유포된 랜섬웨어 키 정보를 공개할 예정이므로 http://asec.ahnlab.com/1125 정보를 주목해 보시기 바랍니다.

  • 김민호 2018.04.20 17:10 댓글주소 수정/삭제 댓글쓰기


    안녕 하세요. 선생님......^^
    저는 제일 처음에 문의 드린 사람인데요.
    혼자서 해보다가, 오랜만에 다시 인사 드립니다.

    저번에 안 열린다는 사진파일들을 HxD 로 열어보면,
    ..BCRyþ?¹N.‡?.. <--- 요 문자들만 가득차 있습니다.
    잘모르는 제가 보기에는 아직 암호화 상태인거 같습니다.
    해결방법을 찾아서, 시간날때마다 틈틈이 더 알아 보려고요.

    어쨋든, 살려낸 파일들은, 정말 제게 중요한 파일들 이었습니다.
    선생님께 다시한번 감사 드립니다......^^

    밑에 비밀글도 꼭 보세요.

  • 비밀댓글입니다

  • 으앙 2018.04.27 02:23 댓글주소 수정/삭제 댓글쓰기

    이 글과 무관해 죄송하지만..최근 토렌트를 통하여 한글과컴퓨터2018 무설치 버전 중 실제 .exe 파일은 실행하지 않고, HWPAUTO.bat 파일을 관리자 권한으로 실행했는데 이를 통해서 바이러스가 침투할 수 있나요? 검색한 바에 따르면 설정한 값을 단순 반복해주는 명령 프롬프트 파일이라고 설명되어 있어서요..

    • 불따충ㅋㅋㅋ 2018.06.05 11:49 댓글주소 수정/삭제

      불법다운 하셨으면 랜섬도 안고 가셔야죠 ㅋㅋㅋ 바이러스 축하드립니다 포맷 안하시면 답 없음 크래커들이 랜섬 안 심고 한컴 무설치만 예쁘게 올려놨기를 간절히 빌어보세요

  • ㅜㅜ 2018.06.06 16:21 댓글주소 수정/삭제 댓글쓰기

    벌새님 안녕하세요 고생하십니다 이것도 확인부탁드립니다.
    6월 4일 오후9시 45분쯤 파일이 수정되었구요
    확장명 : eymzwpiqz
    벡터 : zb93715086420cmwgq2
    ㅜㅜ

  • ㅜㅜ 2018.06.06 20:55 댓글주소 수정/삭제 댓글쓰기

    그렇군요 ㅜㅜ 감사합니다

  • 경은킴 2018.06.20 09:33 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.
    확장자 .ksnbmttz
    부탁드릴께요. 왜 자꾸만 걸리는지. ㅠㅠ
    감사합니다.

    • 언제 감염되어서 파일이 암호화되었는지 모르지만 4월 초 이후에 암호화된 경우에는 방식이 변경되어 더 이상 복구를 할 수 없습니다.

  • 파도파도 2018.06.22 19:02 댓글주소 수정/삭제 댓글쓰기

    3월 중순쯤에 변경되어버린 매그니베르 pjjxpha xyhqpficb 이 두 확장자는 아직일까요? ㅜㅜ

  • 누구야 ㅠㅠ 2018.07.19 17:54 댓글주소 수정/삭제 댓글쓰기

    ycgnerl
    확장자명 이건데 답없나요? ㅠㅠ

  • 도와주세요 ㅜㅜ 2018.07.25 16:37 댓글주소 수정/삭제 댓글쓰기

    사진 확장자 : evzccodaq
    문서 확장자 : pwjaaif
    7월 21일에 감염되었습니다..
    복구 방법이 아직 없나요..???

    없다면 언제쯤 복구할 수 있을까요?ㅜㅜㅜㅜ

    • 최근에 감염되어 암호화된 Magniber 랜섬웨어는 복구툴이 없으며 아마 차후에도 나올 확률이 극히 적을 것 같습니다.

      반드시 복구가 필요하다면 돈을 더 요구하기 전에 복구하시는게 좋을 듯합니다.

  • 나른한일이 2018.11.11 21:42 댓글주소 수정/삭제 댓글쓰기

    확장자 : bstumxbh
    대상 : zip, jpg, 문서등
    일자 : 2018-11-11 (빼빼로데이) 감염되었습니다.
    키값 : http://02c48a50a0fc9e60ea2c64.moveerr.site/bstumxbh 로 Url 에 별도로 없네요 ㅠㅠ
    여기저기 찾아보다 여기에 글을 남기네요~~
    명칭이 빗썸으로 보이네요~~~ㅠㅠ
    6월 이후라 방법이 없는건가요 ㅠㅠ

  • 이유빈 2019.03.09 13:19 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 선생님...
    다름이 아니라 저 또한 매그니베르 랜섬웨어에 감염이 되었는데요
    감염시기는 2017년 12월 19일경이고
    확장자명은 ptrmpapfg 입니다. 구글 검색이나 네이버 검색해보니 몇몇 분들도 저와 같은 확장자로 감염이 되셨습니다,,
    그 메모장 주소 가장 끝에 있는 문자는 D235GX832Xjf7mN9 입니다..
    많이 번거로우시겠지만 가능하시다면 이 확장자도 부탁드리겠습니다... 감사합니다..

    • 문의하신 확장명의 경우 파일을 찾아야 하는데 1년이 넘은 파일이라서 찾는다는 것을 보장하기 매우 어렵습니다.

      단순히 해당 문자로는 복구할 수 없으며, 암호화에 사용된 악성 파일이 있어야지 추가 정보를 알 수 있습니다.

      우선은 해당 기간에 수집된 파일 중 동일 파일이 있는지 조사는 해보겠습니다.

      너무 기대하지는 마시기 바랍니다.

    • 확인해보니 2017년 12월 18일 오후 5시경부터 유포가 시작되었으며 파일 Hash값까지는 알 수 있지만, 해당 파일 자체는 수집되지 않아서 파일 확보는 할 수 없었습니다.

      안랩과 같은 보안 업체에서는 파일이 있을 것 같지만... 저로서는 더 이상은 도움을 드릴 수 없습니다. 죄송합니다.

      * 확인된 Hash 값*

      0c3c7c39ffb61a684382e9ff154b392b
      14af8314a0aabc51e35d2b95d57bd8fd
      51c9a45719271548219de4f5956b657a
      561546dccd53e52d8c64e426268401d2
      72acd0a500a7afd706a22a455f295940
      90f0a94aae075e56d691410428977855
      db8235cc39ed5a33cb2b1f57daa836ce

  • 랜섬미워 2019.04.17 21:20 댓글주소 수정/삭제 댓글쓰기

    감염시점 : 2019. 4.5.
    확장자명 : bmwoqkf
    키값이 뭔지 모르겠습니다.....
    http://a8a0764826249a3004bmwoqkf.5s5tbyuyp4xboaef.onion/bmwoqkf
    주소는 이렇게 적혀있어요ㅠㅠㅠ
    tor browser에서만 페이지가 유효하다네요


  • 랜섬시키 2019.05.01 15:20 댓글주소 수정/삭제 댓글쓰기

    감염시점 : 2017. 11. 10.
    확장자명 : madrcby
    키 : b73lY4SygK8SmOw8

    read me for decrypt 파일인 첫번째 .madrcby 확장자의 파일은 복구할 수 없다는 말씀이시죠? 다른 블로그에서 똑같은 확장자에 같은 날에 감염된 것을 복구했다는 글을 읽고 희망을 가졌었는데.. 되지 않네요 ㅠㅠ

    ㅠㅅ ㅠ 전원을 꺼둔 채로 1년이 지나서야 사진 옮기다가 바이러스 걸린 것을 알았어요.

    현재 안랩에서 제공되는 복구툴 V4.1은 위와 같은 방식으로는 되지 실행이 안되더라구요.
    V2와 V1으로 돌려봤으나
    복호화 중 에러 : 0x80090005 라고 뜹니다.
    복구하기 힘들까요?
    그리고 이 파일들을 외장하드에 같이 옮겨놓으면 다른 파일들도 감염될 수 있는건가요..?

    • 암호화된 파일을 외장 하드로 이동하는 과정에서 랜섬웨어 감염은 발생하지 않습니다.

      단지 PC에 악성 랜섬웨어 파일이 여전히 실행 중인 상태라면 피해가 발생할 수 있습니다.

      사전에 백신 프로그램으로 정밀 검사를 해보시기 바랍니다.

      그리고 11월경에 암호화된 파일은 아마도 복구가 어려울 듯합니다.ㅠㅠ

  • 비밀댓글입니다

  • 비밀댓글입니다

  • 새럼 2019.05.08 18:49 댓글주소 수정/삭제 댓글쓰기

    선생님, 5월 5일에 랜섬웨어에 감염되었어요.
    메모장 readme라고 뜨더라고요. 마우스를 대보니 readme .txt라고 보입니다. 위에 설명해 놓으신걸 보면
    Readme.txt는 복구가 가능하다고 하셨는데
    이걸 복구할 수 있나요?