2018년 1월 하순경부터 현재까지 전 세계를 대상으로 유포가 꾸준하게 진행되고 있는 GandCrab 랜섬웨어(Ransomware)는 현재 v5.0.4 버전까지 확인되고 있습니다.


최근 BitDefender 보안 업체에서 GandCrab v1, GandCrab v4, GandCrab v5 버전에 대한 무료 복구툴을 개발하여 공개하였기에 살펴보도록 하겠습니다.



 

암호화된 파일 패턴

결제 안내 파일 

GandCrab v1 랜섬웨어

.GDCB

GDCB-DECRYPT.txt

GandCrab v4 랜섬웨어

.KRAB

KRAB-DECRYPT.txt

GandCrab v5 랜섬웨어

.<5~10자리 Random 확장명>

<암호화 확장명>-DECRYPT.txt


이번에 공개된 Bitdefender GandCrab Decryptor 무료 복구툴은 GandCrab v2, GandCrab v3 버전(.CRAB / CRAB-DECRYPT.txt), GandCrab v5.0 버전(<암호화 확장명>-DECRYPT.html)에 의해 암호화된 파일에 대한 복구는 지원하지 않으며, 나머지 버전은 모두 복구가 가능한 것으로 밝히고 있습니다.



GandCrab v1, v4, v5 버전에 따른 세부적인 내용을 참고하여 만약 무료 복구툴로 복구 가능한 버전에 의해 암호화된 경우에는 다음과 같은 절차에 따라 파일을 복구를 하시기 바랍니다.


테스트에서는 오늘(10월 25일) 피해를 유발하였던 GandCrab v5.0.3 버전(SHA-1 : 04e1ca8fac8962fd09f27bea445d4e3fc35be685)을 이용하여 파일 암호화가 이루어지도록 사전 준비를 하였습니다.



Bitdefender GandCrab Decryptor 무료 복구툴(BDGandCrabDecryptTool.exe)을 다운로드하신 후 실행하시고 "I agree (동의합니다.)"를 클릭하시기 바랍니다.



다음 단계에서 GandCrab 랜섬웨어에 의해 암호화된 폴더를 사용자가 직접 지정(Browse)하거나 "Scan entire system (전체 시스템 검사)"를 체크하는 방식으로 설정한 후 "Scan (검사)" 버튼을 클릭하시기 바랍니다.


단, 안전을 위해서는 "Backup files (암호화된 파일 백업)" 박스에 체크를 하시면 복구 중 오류가 발생할 경우 암호화된 파일을 유지할 수 있습니다.



검사를 통해 자동으로 복구가 완료된 경우 "Scan finished. All GandCrab V1,V4,V5 encrypted files have been Decrypted." 메시지가 표시됩니다.



이후 폴더를 확인해보면 암호화된 파일과 함께 원본 파일이 정상적으로 복구에 성공한 것을 확인할 수 있었습니다.


그러므로 GandCrab v1, v4, v5 버전에 의해 암호화되어 피해를 당하신 분들은 Bitdefender GandCrab Decryptor 무료 복구툴을 이용하여 복구를 시도해 보시기 바랍니다.


블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..