2018년 1월 하순경부터 현재까지 전 세계를 대상으로 유포가 꾸준하게 진행되고 있는 GandCrab 랜섬웨어(Ransomware)는 현재 v5.0.4 버전까지 확인되고 있습니다.


최근 BitDefender 보안 업체에서 GandCrab v1, GandCrab v4, GandCrab v5 버전에 대한 무료 복구툴을 개발하여 공개하였기에 살펴보도록 하겠습니다.



 

암호화된 파일 패턴

결제 안내 파일 

GandCrab v1 랜섬웨어

.GDCB

GDCB-DECRYPT.txt

GandCrab v4 랜섬웨어

.KRAB

KRAB-DECRYPT.txt

GandCrab v5 랜섬웨어

.<5~10자리 Random 확장명>

<암호화 확장명>-DECRYPT.txt


이번에 공개된 Bitdefender GandCrab Decryptor 무료 복구툴은 GandCrab v2, GandCrab v3 버전(.CRAB / CRAB-DECRYPT.txt), GandCrab v5.0 버전(<암호화 확장명>-DECRYPT.html)에 의해 암호화된 파일에 대한 복구는 지원하지 않으며, 나머지 버전은 모두 복구가 가능한 것으로 밝히고 있습니다.



GandCrab v1, v4, v5 버전에 따른 세부적인 내용을 참고하여 만약 무료 복구툴로 복구 가능한 버전에 의해 암호화된 경우에는 다음과 같은 절차에 따라 파일을 복구를 하시기 바랍니다.


테스트에서는 오늘(10월 25일) 피해를 유발하였던 GandCrab v5.0.3 버전(SHA-1 : 04e1ca8fac8962fd09f27bea445d4e3fc35be685)을 이용하여 파일 암호화가 이루어지도록 사전 준비를 하였습니다.



Bitdefender GandCrab Decryptor 무료 복구툴(BDGandCrabDecryptTool.exe)을 다운로드하신 후 실행하시고 "I agree (동의합니다.)"를 클릭하시기 바랍니다.



다음 단계에서 GandCrab 랜섬웨어에 의해 암호화된 폴더를 사용자가 직접 지정(Browse)하거나 "Scan entire system (전체 시스템 검사)"를 체크하는 방식으로 설정한 후 "Scan (검사)" 버튼을 클릭하시기 바랍니다.


단, 안전을 위해서는 "Backup files (암호화된 파일 백업)" 박스에 체크를 하시면 복구 중 오류가 발생할 경우 암호화된 파일을 유지할 수 있습니다.



검사를 통해 자동으로 복구가 완료된 경우 "Scan finished. All GandCrab V1,V4,V5 encrypted files have been Decrypted." 메시지가 표시됩니다.



이후 폴더를 확인해보면 암호화된 파일과 함께 원본 파일이 정상적으로 복구에 성공한 것을 확인할 수 있었습니다.


그러므로 GandCrab v1, v4, v5 버전에 의해 암호화되어 피해를 당하신 분들은 Bitdefender GandCrab Decryptor 무료 복구툴을 이용하여 복구를 시도해 보시기 바랍니다.


블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..

댓글을 달아 주세요

  • jj 2018.10.26 22:14  댓글주소  수정/삭제  댓글쓰기

    윈도우10 정품 사용자고요 오늘 감염되었는데 복구파일 d드라이브에 다운은 받아졌는데 설치실행이 안됩니다 어찌해야 할까요? 도움부탁드립니다 ㅜㅜ

  • jj 2018.10.26 22:49  댓글주소  수정/삭제  댓글쓰기

    쾌속답변 감사합니다!!! 다운이 안되어 0byte 였네요
    겨우 실행했는데요 스캔이 실패라고 뜨는 것은 이것으로 해결이 안된다는 의미인가요?ㅜㅜ

  • jj 2018.10.26 22:56  댓글주소  수정/삭제  댓글쓰기

    메시지 파일도 존재하고 바탕화면도 검게 변했습니다. ㅜ 프로그램들은 정상작동하고 사진파일 같은 것들도 아직은 잘 열리네요;; 완전 감염은 아닌듯 한데 v3지웠더니 이런일 생겼네요;;
    v3설치해서 치료해봐도 될까요? 아님 안전하게 걍 포맷하는게 날까요? ㅜㅜ 친절하게 답변해주셔서 정말 감사합니다. 이런일은 첨이라 님께 폐를 끼치고 있네요

  • jj 2018.10.26 23:03  댓글주소  수정/삭제  댓글쓰기

    오!! 네 얼마전에 한번 했어요. 그것 덕분인가요?? 다행이네요 ㅜㅜ 정말 깜짝 놀랐는데! 지금 확인해보니 윈도우10 보안기능도 한 몫한 모양이네요. 친절한 답변 정말 감사합니다!!
    감사해요!!

    • BlogIcon 울지않는 벌새 2018.10.26 23:05 신고  댓글주소  수정/삭제

      얼마전에 GandCrab 랜섬웨어의 약점을 찾아서 MZK 도구 제작자님에게 요청해서 사용하면 코드를 추가해서 감염되어도 파일 암호화는 못하게 했습니다. 아마 그 덕분 같습니다.

  • jj 2018.10.26 23:12  댓글주소  수정/삭제  댓글쓰기

    천만다행이네요. 이렇게 정보공유 해 주시고 애 써주시는 분들 덕분에 저 같은 컴퓨터 무지랭이도 도움을 알게모르게 많이 받습니다! 훌륭하세요! 감사드리고 좋은 주말되세요^^

  • jun 2018.10.31 02:02  댓글주소  수정/삭제  댓글쓰기

    와 정말 좋은 자료 감사합니다.

    저도 전에 v4 때 걸려서 약간 멘붕 왔지만 시간이 지나면 복구 가능할것 같아서

    파일 백업하고 남겨 뒀었는데..

    어떻게 진행 됬을까 해서 검색하다가 들어왔는데

    정말 복원이 됩니다.

    검색해도 상위에 뜨지 않는게 안타까울 정도입니다.

    제대로 정보공유나 공지들이 안되서 복구 못하시는 분들이 있을거라 생각하니 마음이 아플정도네요.

    복구가 가능하다는 사실에 기쁩니다.

    정확하고 빠른 정보 정말 감사합니다.

  • 비내린한겨울 2018.11.02 09:55  댓글주소  수정/삭제  댓글쓰기

    덕분에 예전 자료 다 복구 시켯네요 감사드립니다.

  • 프라이드 2018.11.26 17:49  댓글주소  수정/삭제  댓글쓰기

    이거 자꾸 다운 실패가 되네요?ㅠㅠ

  • 단무디 2018.11.26 23:08  댓글주소  수정/삭제  댓글쓰기

    확장자가 jeyucbr 이에여. 도와주세요~~

  • henry Ko 2018.12.06 17:15  댓글주소  수정/삭제  댓글쓰기

    안녕하세요?
    좋은자료 주셔서 감사합니다. 제가 올려주신 프로그램으로 모두 돌려보았는데 소용이 없네요.
    확장자명이 jjzlcwy 입니다. mzk를 이용하여 랜섬웨어로 추정되는 두개의 파일은 제거하였으나
    망가진 파일들 복구가 안되네요. 이럴경우 모두 포기해야 할까요?

    • BlogIcon 울지않는 벌새 2018.12.06 19:47 신고  댓글주소  수정/삭제

      최근에 유포되는 GandCrab v5.0.4 버전의 경우에는 복구툴을 이용해서 해결되지 않습니다.ㅠ

      차후 다시 복구툴이 공개될지도 모르므로 복구가 필요한 파일은 따로 백업해 두시기 바랍니다.

      특히 메시지 파일(.txt)도 반드시 1개는 함께 보관하시기 바랍니다.

  • progre22 2018.12.20 18:56  댓글주소  수정/삭제  댓글쓰기

    안녕하세요~
    제 감염 확장자는 "vdtajurv" 이건데요 계속 실패라고 나오네요 ㅠ
    요건 아직 복구프로그램이 개발중인건지 궁금합니다 ㅠ

    • BlogIcon 울지않는 벌새 2018.12.20 19:05 신고  댓글주소  수정/삭제

      최근에 GandCrab 랜섬웨어에 의해 암호화된 경우에는 복구할 수 없습니다.

      또한 GandCrab 랜섬웨어에서 사용하는 명령 서버를 수사기관이 압수를 해야지 복구 가능하므로 언제가 될지 알 수 없습니다.

  • 안녕하세요 2019.01.07 13:17  댓글주소  수정/삭제  댓글쓰기

    어제 밤에 처음 랜섬웨어에 걸리고 검색 또 검색해서 오게되었습니다.
    제 감염 확장자는 bdnxfwql 입니다.
    지인들은 혹시 모르니 포멧을 하라고 하는데, 포맷은 마지막 차선책으로 남겨두려고 합니다.
    바쁘실텐데 혹시 보신다면 답변 기다리겠습니다.

    • BlogIcon 울지않는 벌새 2019.01.15 21:15 신고  댓글주소  수정/삭제

      최근 유포된 GandCrab v5.0.4 버전은 무료 복구툴이 없는 상태입니다.

      만약을 위해 암호화된 파일을 따로 백업해 두시기 바라며, 반드시 결제 안내 파일(.txt) 1개는 함께 보관하시기 바랍니다.

  • 버블버블 2019.03.13 07:33  댓글주소  수정/삭제  댓글쓰기

    .

    링크따라 가서 파일을 받고 실행을 시켰지만 반응을 하지 않습니다. ㅠㅠ
    그리고 이 확장자도 복구가 될까요?

    .jpg.uxmorbohtm 힘들게 스캔한 이미지 몇 천 장이 꼼짝없이 묶였습니다.

    • BlogIcon 울지않는 벌새 2019.03.13 20:02 신고  댓글주소  수정/삭제

      언제 감염되었으며 버전이 어떻게 되는지 모르지만 GandCrab 랜섬웨어 (v5.2) 버전의 경우에는 현재 복구툴이 존재하지 않습니다. 더 기다려 보시기 바랍니다.

  • 유피타투 2019.05.30 14:38  댓글주소  수정/삭제  댓글쓰기

    스캔을 누르면 아무반응없이 꺼집니다 ㅠㅠ .uwdovzvbr 입니다ㅠㅠ

    • BlogIcon 울지않는 벌새 2019.05.31 19:00 신고  댓글주소  수정/삭제

      언제 암호화되었는지 모르겠지만 GandCrab 랜섬웨어가 생성한 메시지 파일에서 버전이 맞는지 확인해 보시기 바랍니다.

      또한 GandCrab 랜섬웨어가 아니라 Magniber 랜섬웨어에 감염된게 아닌가도 싶습니다.

  • BlogIcon sky7985 2019.06.03 11:11  댓글주소  수정/삭제  댓글쓰기

    README.hta 파일로도 복구가 가능한가요? 메모장파일은없어요