본문 바로가기

벌새::Security

Magniber 랜섬웨어 변종에 의해 암호화된 파일 복구 방법 (2018.4.8)

반응형

2017년 10월 중순경부터 한국어(Korean) 운영 체제 환경에서만 파일 암호화가 진행되는 Magniber 랜섬웨어(Ransomware)는 현재까지 끊임없이 변종을 유포하여 국내에 심각한 피해를 유발하고 있습니다.

 

 

하지만 안랩(AhnLab) 보안 업체에 의해 Magniber 랜섬웨어의 파일 암호화 약점을 찾아 최근에 복구툴을 공개하여 2018년 3월경부터 암호화된 파일에 대해서는 복구가 가능하도록 지원하고 있습니다.

 

하지만 현재까지 확인된 안랩 복구툴에 의해 복구 가능한 암호화된 파일은 Magniber 랜섬웨어에 의해 생성된 README.txt 메시지 파일이 생성되는 변종에 한하여 가능합니다.

 

하지만 그 이전에 암호화된 파일의 경우에는 현재 공개된 복구툴(MagniberDecryptV3.exe)을 통해서는 한방에 복구되지 않는 문제가 있습니다.

 

 

예를 들어 2018년 1월 17일경 유포된 Magniber 랜섬웨어에 의해 암호화된 경우 .iceitjjo 확장명으로 암호화되며, READ_FOR_DECRYPT.txt 메시지 파일을 생성합니다.

 

 

생성된 메시지 파일에 표시된 주소(URL)값을 기반으로 벡터(Vector)값은 i8qi3H729YU7Yg82 임을 추정할 수 있으며, Magniber 랜섬웨어 악성 파일을 이용하여 분석을 해보면 s528qn9ruSa9M4tY 키(Key)값을 사용한 것을 알 수 있습니다.

 

 

해당 정보를 기반으로 안랩 복구툴을 통해 1차적으로 복호화를 진행하면 정상적으로 파일이 복원되는 것으로 표시됩니다.

 

 

실제로 복호화가 이루어진 폴더를 확인해보면 암호화된 파일마다 복호화가 이루어진 파일이 생성된 것을 볼 수 있습니다.

 

 

하지만 복호화가 이루어진 MS Word 문서(.doc)와 압축 파일(.zip)을 실행해보면 정상적으로 열리지 않는 것을 확인할 수 있으며 실제로는 정상적으로 복호화가 이루어지지 않았음을 알 수 있습니다.

 

 

MS Word 문서 파일(.doc)의 일반적인 파일 구조와 복호화된 파일을 비교해보면 헤더(Header)값 상단(OFFSET 00 ~ 0F)에 불필요한 값이 남아있는 것을 확인할 수 있습니다.

 

 

ZIP 압축 파일(.zip)의 일반적인 파일 구조와 복호화된 파일을 비교해봐도 헤더(Header)의 OFFSET 00 ~ 0F 영역까지 불필요한 값이 남아있는 공통점을 발견할 수 있습니다.

 

안랩(AhnLab) 복구툴을 통해 1차적으로 복호화를 완료한 후에는 열리지 않는 파일이 존재할 경우 파일 헤더(Header) 영역을 사용자가 직접 수정하여 파일이 정상적으로 열리도록 해보겠습니다.

 

파일 헤더(Header) 수정을 위해서는 HxD 프로그램(한글화 지원)을 이용하는 것이 편의성에서 가장 좋을 것 같아서 HxD 설치를 통해 수정하는 방법을 소개해 드리겠습니다.

 

 

HxD 프로그램(한국어 버전)을 다운로드하여 설치를 진행하신 후 프로그램을 실행하시기 바랍니다.

 

 

실행한 HxD 프로그램의 메뉴에서 열기 메뉴를 통해 복호화된 파일 중 열리지 않는 파일을 찾아 오픈하시기 바랍니다.

 

오픈된 파일은 위와 같은 HEX 값으로 표시가 이루어지며, 최상위에 표시된 OFFSET 00 ~ 0F 영역을 마우스로 정확하게 드래그(Drag)하여 선택하시기 바랍니다.

 

 

이후 키보드에서 삭제(DEL) 버튼을 클릭하시면 "이 작업은 파일크기를 변경합니다. 진행하시겠습니까" 메시지가 나오므로 수락하시기 바랍니다.

 

 

변경된 MS Word 문서(.doc) 파일의 헤더는 일반적인 MS Word 문서와 동일한 헤더값을 가지게 된 것을 알 수 있습니다.

 

 

수정이 완료된 후에는 반드시 HxD 프로그램의 저장 버튼을 클릭하여 변경된 값을 저장하신 후 파일을 확인해보면 Magniber 랜섬웨어에 의해 암호화된 파일(.iceitjjo), HxD 프로그램에 의해 수정되기 이전의 안랩에 의해 1차 복호화가 이루어진 파일(.bak), HxD 프로그램에 의해 수정된 최종 파일(.doc)로 구성된 것을 알 수 있습니다.

 

즉 파일을 잘못 수정하여도 백업된 파일(.bak)이 남아있으므로 너무 큰 걱정을 할 필요는 없다는 의미입니다.

 

 

최종 수정된 MS Word 문서(.doc)를 실행해보면 이전과 다르게 정상적으로 파일이 오픈되는 것을 확인할 수 있습니다.

 

 

동일한 방법으로 안랩(AhnLab) 복구툴을 통해 1차적으로 복호화가 이루어진 열리지 않는 ZIP 압축 파일을 HxD 프로그램을 통해 오픈한 후 OFFSET 00 ~ 0F 영역을 선택하여 삭제(Del)를 한 후 저장하시기 바랍니다.

 

 

변경된 ZIP 압축(.zip) 파일의 헤더는 일반적인 ZIP 압축 파일과 동일한 헤더값을 가지게 된 것을 알 수 있습니다.

 

 

수정된 ZIP 압축 파일도 Magniber 랜섬웨어에 의해 암호화된 파일(.iceitjjo), HxD 프로그램에 의해 수정되기 이전의 안랩에 의해 1차 복호화가 이루어진 파일(.bak), HxD 프로그램에 의해 수정된 최종 파일(.zip)로 구성된 것을 알 수 있습니다.

 

 

마지막으로 수정된 ZIP 압축 파일을 오픈해보면 정상적으로 압축된 파일을 확인할 수 있으며, 압축 해제도 정상적으로 이루어지는 것을 알 수 있습니다.

 

그러므로 Magniber 랜섬웨어에 의해 암호화된 파일을 1차적으로 안랩(AhnLab) 복구툴을 통해 복호화를 완료한 후 복구되지 않을 경우에는 파일 헤더(Header)값 수정을 통해 정상적으로 열리도록 수정할 수 있으며, 몇 개의 변종을 통해 확인해보면 결과 헤더값만 수정하면 원본과 100% 일치하는 Hash값을 가지는 것을 알 수 있다는 점에서 차후 안랩(AhnLab) 복구툴 업데이트를 통해 자동으로 복구 가능하도록 지원하지 않을까 싶습니다.

728x90
반응형
  • 샤론 2018.04.09 09:01 댓글주소 수정/삭제 댓글쓰기

    안녕하세요..선생님..ㅜㅜ
    저는 어제 4월 8일 저녁에 감염됐는데요...
    gmhbuwc확장자를 가지고 README.txt를 생성시키고 있습니다.
    복호화툴을 통해 치료해봤는데. 위글처럼 화면이 깨지거나 아예 열리지 않고 있습니다.
    다만, ppt의 경우는 여러번 반복해서 복호화된 파일을 열기를 시도하면 자체적으로 알람창이 몇번 뜨다가 복구시스템이 작동해 파일이 열리고 다른이름으로 저장하게 됩니다. (다른 파일일로 생성되는거 같습니다.)
    그래서 그 파일로 선생님처럼 감연된 파일과 복호화된파일, 그리고 새롭게 생성된 열리는 파일을 hxd를 통해 본결과
    선생님 말씀하신거처럼 첫줄이 문제가 되는데요.. 문제는 하단에 30-40줄 정도는 틀립니다... 여러개파일로 검토해본결과
    하단은 각각 그 갯수가 다릅니다....ㅜㅜ 이거 신종인가요?? ㅜㅜ 너무 괴롭네요.. 도와주십쇼..ㅜㅜ;;;;;

    • 말씀하신 내용을 봐서는 이미 복구 가능한 키 정보를 알고 계신 것 같습니다?

      관련 랜섬웨어에 사용된 악성 .exe 파일은 확인되지 않기 때문에 재현할 수 없는 상태입니다.

      C:\Users\Public (공용) 폴더에 .exe 또는 .com 파일이 존재할 경우 비밀번호가 포함된 압축을 해서 http://hummingbird.tistory.com/notice/911 내용을 참고하여 메일로 보내주시기 바랍니다.

      그리고 여기에서 언급한 방식으로도 해결되지 않는 부분은 현재로서는 도움을 드릴 방법이 없습니다.

  • 랜섬이씹어먹을놈들 2018.04.11 01:18 댓글주소 수정/삭제 댓글쓰기

    컴터인생 35년에 랜섬에 걸리다니.주말에 걸린것 같아 오늘 하루종일 검색하고 난리를 했습니다.
    옆카페지기님의 큰 도움으로나마 다행이 복조화 될것 같았는데...헤더가 랜덤으로 변종인 놈한테 하필 걸려서 지금 급한 서류만 헤더작업 수작업으로 해놓았고
    사진이나 기타 파일은 우선 복구툴 나올때까지 대기모드 중입니다.
    옆 블로그 보니 오늘 올라온 글보면 변종으로 걸린분들은 README파일에 있는 홈피에서 복구해주는 파일하나 미리 준비해 놓으면
    나중에 확장자 키값 알고 벡터값 알면 복구 완벽히 된다고 하네요.. 저도 주어 들은거라 모 관리자님이 더 잘아실거 같은데..
    참고하시라고 글 남겨봅니다. 사진만 수백만장인데...랜섬 이 씹어먹을놈들 진짜..

  • 치카이 2018.04.24 23:17 댓글주소 수정/삭제 댓글쓰기

    2017. 11. 14 에 랜섬웨어에 감염 되었습니다.
    암호화된 파일의 확장자는 "axrxru" 이고 READ_ME_FOR_DECRYPT.txt 파일을 생성했습니다.
    복구가 가능한지 알고 싶습니다.

  • 비밀댓글입니다

    • Magniber 랜섬웨어 감염으로 인한 메시지 내용입니다.

      http://asec.ahnlab.com/1129

      내용을 참고하여 복구툴로 복구 가능한지 여부를 확인해 보시기 바랍니다.

  • 김현우 2018.05.15 01:31 댓글주소 수정/삭제 댓글쓰기

    DTUTKLIKX 파일(.dtutklikx)

    이라는확장자인데 없는거같아요... 어떻게해야하나요 ??

  • 랜섬피해자 2018.07.25 16:08 댓글주소 수정/삭제 댓글쓰기

    선생님! 이런 귀한 정보 공유해주셔서 감사합니다.
    제 컴터가 사진은 .evzccodaq 그리고 문서는 .pwjaaif 로 변경되었습니다..
    복구 가능 한가요??!!

    가능하다면 한번만 도와주십시오..
    제 운명이 달렸습니다..
    부탁합니다..!

    • 최근에 유포되는 Magniber 랜섬웨어는 복구 방법이 공개된게 없으며 아마도 복구툴이 나올 확률은 극히 적을 듯합니다.

      반드시 복구하셔야 한다면 기간 내에 돈을 지불하는게 어쩌면 나을지도 모릅니다.ㅠ