2017년 10월 중순경부터 한국어 운영 체제에서만 파일 암호화 행위가 이루어지는 Magniber 랜섬웨어(Ransomware)는 보안 패치가 제대로 이루어지지 않은 PC 환경에서 웹 사이트 접속 시 취약점(Exploit)을 통해 자동 감염되는 방식으로 현재까지 꾸준하게 유포되고 있습니다.
그런데 안랩(AhnLab) 보안 업체에서 최근 유포되는 Magniber 랜섬웨어의 암호화 방식의 약점을 확인하여 무료로 복구할 수 있는 복구툴을 공개하였습니다.
단지 기존에 유포된 Magniber 랜섬웨어 중 "_HOW_TO_DECRYPT_MY_FILES_<Random>_.txt, READ_ME_FOR_DECRYPT_<Random>_.txt, READ_ME_FOR_DECRYPT.txt, READ_FOR_DECRYPT.txt" 메시지 파일을 생성하였던 변종은 복구를 할 수 없으며, 최근에 파일 암호화 후 생성되는 READ_ME.txt, README.txt 메시지 파일이 생성되는 경우에만 복구가 가능합니다.
안랩(AhnLab)에서 공개한 정보를 참고해보면 파일 복구를 위해서는 반드시 키(Key)값과 벡터(Vector)값을 사용자가 알고 있어야 합니다.
기본적으로 벡터(Vector)값은 Magniber 랜섬웨어 감염으로 생성된 README.txt 파일에 표시된 URL 주소의 뒷자리 값으로 사용자가 쉽게 확인할 수 있습니다.
하지만 사용자는 기본적으로 암호화된 파일 확장명과 벡터값만 확인이 가능하며, 암호화에 사용된 공개키 정보는 알 수 없기에 안랩(AhnLab) 블로그에서는 지속적으로 복구 가능한 확장명을 기준으로 키 정보를 공개할 예정이라고 합니다.
이에 안랩(AhnLab)에서 공개한 Magniber 랜섬웨어 복구툴을 이용하여 현재 공개되지 않은 다른 변종 파일에 의해 암호화된 파일이 복구 가능한지 확인해 보도록 하겠습니다.
2018년 4월 2일경에 유포된 Magniber 랜섬웨어 변종에 의해 암호화된 파일은 .hxzrvhh 확장명으로 암호화가 이루어졌습니다.
| 유포 날짜 | 메시지 파일명 | 암호화된 파일 확장명 |
키(Key) | 벡터(Vector) |
| 11월 8일 (복구 정보) |
READ_ME_FOR_DECRYPT.txt | .madrcby | E897q5ym6cN4g2iE | b73lY4SygK8SmOw8 |
| 1월 17일 (복구 정보) |
READ_FOR_DECRYPT.txt | .iceitjjo | s528qn9ruSa9M4tY | i8qi3H729YU7Yg82 |
| 3월 1일 | READ_ME.txt | .errdpty | WBg1ei772y256459 | Ax1149q0PObc9xT3 |
| 3월 11일 | READ_ME.txt | .qbzzaflts | m4PHtC0FAD8Rd13J | ze1I2xA25x0390T8 |
| 3월 24일 | README.txt | .uqpupoubk | n0234ou8dG2852Y3 | m67a2Cq9Wgxm3J9L |
| 3월 29일 | README.txt | .zuqpqkz | MexXih15d326BEG7 | e1hR8O67aT39006b |
| 3월 29일 | README.txt | .qtbwzam | GVgX3hd0i8248Xn9 | RhpL7f0yM4447Yr9 |
| 3월 30일 | README.txt | .vrwmlmbpk | i2700c80Mh2Dy5Hs | gz4790A6X62633ZR |
| 3월 31일 | README.txt | .xxzbrah | zTLBP5mJvj5U13n3 | EBW2TOs0n93TFYE6 |
| 4월 1일 | README.txt | .ezjasdu | Tn6253SfxZaheR41 | D7R66y1724z89M2l |
| 4월 1일 | README.txt | .ctffcqen | s8K86k5Q6n7R06L9 | K06296slW865E063 |
| 4월 1일 | README.txt | .varulgaej | E8dO5A041a5D48o8 | N4561H6O19SK0YV0 |
| 4월 2일 | README.txt | .hxzrvhh | EsoNSQ0oaSE614v1 | lEF91UX3DHb1N194 |
| 4월 2일 | README.txt | .vcjxopq | RA34I1F35XY29x10 | tS3Fd3IfJKSw7918 |
| 4월 3일 | README.txt | .gcwssbfuw | B4484pQ2w3y6Icq6 | X0x117b1Um535FD8 |
| 4월 3일 | README.txt | .jxrhgat | CZH7Fy6Q537ycWX3 | R9Ltm45J2oVk7ciZ |
| 4월 3일 | README.txt | .qgsxyzidg | g5eIdGlVqO9s1Naj | Nu4996t2h6m7K3bx |
| 4월 3일 | README.txt | .jozncdx | cPlE6aA609HJKmfH | GQ7682r13624LE1c |
| 4월 3일 | README.txt | .uipdyyfsg | yT0iVg38r9E4ksYZ | jb6Q72q32Gd5G7M1 |
| 4월 3일 | README.txt | .fhpjvusz | Ux4ZsI528bbFYa3I | XB9z02e1nvz09k9y |
| 4월 4일 | README.txt | .wqtmfil | EL76Wn6uIRI73Yfj | TE515HQ571it4f04 |
| 4월 4일 | README.txt | .veidrssph | G8DPM9P4Qy3259e7 | j6IGQx4k52C7Tc2I |
| 4월 5일 |
README.txt | .ddvzdmh |
is45bpE4yVN50Ah4 |
jq6l9N5QxJG6O61F |
| 4월 5일 | README.txt | .ptqzmpr | NK57S333676TR452 | WB7Nd859MS90Q017 |
| 4월 5일 | README.txt | .piouqjwhh | i1438z9Vf3G7oECJ | m5T03C6u8GEd10A4 |
| 4월 5일 | README.txt | .ywxhyjp | MWdYs0RT9ga0460X | SCB3337m5450g8s2 |
Magniber 랜섬웨어 복구툴을 임의의 폴더에 다운로드한 후 실행을 위해서는 명령 프롬프트를 "관리자 권한으로 실행"하시기 바랍니다.
이후 Magniber 랜섬웨어 복구툴이 위치한 폴더로 지정(※ 예시 : CD "Magniber 랜섬웨어가 위치한 폴더명")하시기 바랍니다.
■ 암호화된 개별 파일 복구 방법
Magniber 랜섬웨어에 의해 암호화된 파일 중 사용자가 특정 암호화된 파일만을 복구하는 방법입니다.
CMD 명령 프롬프트 창에 MagniberDecryptV3 /f "암호화된 파일 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vector)> 방식으로 정보를 입력하시기 바랍니다.
MagniberDecryptV3 /f "D:\원본 폴더\원본 사진.bmp.hxzrvhh" /e hxzrvhh /k EsoNSQ0oaSE614v1 /v lEF91UX3DHb1N194
정상적으로 값이 입력된 경우 암호화된 파일(.hxzrvhh)이 복호화되어 원본 파일이 생성된 것을 확인할 수 있습니다.
■ 특정 폴더 내의 파일 전체를 복구하는 방법
Magniber 랜섬웨어에 의해 암호화된 파일을 사용자가 특정 폴더 내에 모두 넣은 후 파일들을 일괄적으로 복구하는 방법입니다.
CMD 명령 프롬프트 창에 MagniberDecryptV3 /d "암호화된 파일이 존재하는 폴더 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vector)> 방식으로 정보를 입력하시기 바랍니다.
MagniberDecryptV3 /d "D:\원본 폴더" /e hxzrvhh /k EsoNSQ0oaSE614v1 /v lEF91UX3DHb1N194
정상적으로 값이 입력된 경우 암호화된 파일(.hxzrvhh)이 복호화되어 원본 파일이 생성된 것을 확인할 수 있습니다.
이번에 공개된 안랩(AhnLab)에서 제공하는 Magniber 랜섬웨어 복구툴은 조만간 랜섬웨어 유포자들이 암호화 키 방식을 바꿀 가능성이 존재하므로 언제까지 유효할지 알 수 없지만 피해를 입은 분들은 공개되는 정보를 참고하여 복구해 보시기 바랍니다.
참고로 만약 키(Key), 벡터(Vector) 정보가 공개되지 않아서 복구에 어려움이 있으신 분들은 암호화된 파일의 "수정한 날짜" 정보(파일 암호화가 이루어진 날짜), 암호화된 파일 확장명 정보를 전달해 주시면 랜섬웨어 악성 파일을 찾아서 복구 가능 여부를 검토해 드리도록 하겠습니다.
마지막으로 Magniber 랜섬웨어 감염 방식에 대한 자세한 내용을 공개한 체크멀(CheckMAL) 블로그 내용을 확인하여 감염되지 않도록 사전에 예방하시기 바랍니다.
Magniber 랜섬웨어(READ_ME.txt)에 의해 암호화된 파일 복구 가능성 확인 (2018.4.7)
Magniber 랜섬웨어에 의해 암호화된 파일 중 READ_ME.txt 메시지 파일이 생성되는 일부 변종에 대해서도 복구 가능한 것으로 확인되고 있으므로 관련 랜섬웨어에 암호화된 분들이 있는 경우 암호화된 날짜 및 시간, 암호화된 파일의 확장명을 전달해 주시면 검토해 드리겠습니다.
Magniber 랜섬웨어 벡터(Vector)값 변경에 따른 파일 복구 어려움 예상 (2018.4.9)
그러므로 4월 9일경부터 암호화된 피해자에 대한 복구 방법은 현재 빠른 시간 내에 키를 추출하기 어려우므로 암호화된 파일을 따로 백업해 두시기 바랍니다.
또한 Magniber 랜섬웨어에 의한 피해를 당하지 않도록 Windows 업데이트를 통해 제공하는 보안 업데이트 및 Adobe Flash Player를 최신 버전으로 유지하시기 바라며, AppCheck 안티랜섬웨어 프로그램을 추가적으로 설치하여 다양한 랜섬웨어 변종에 감염되지 않도록 예방하시기 바랍니다.
단, 랜섬웨어 파일만 있다면 키를 찾는데 시간은 다소 걸릴 수 있지만 복구에는 문제가 없는 것으로 확인되고 있습니다.