본문 바로가기

벌새::Software

가짜 Windows Update 창을 생성하는 Stop 랜섬웨어 무료 복구툴 정보 (2019.1.20)

반응형

2018년 11월 초부터 현재까지 다양한 파일 확장명 형태로 파일 암호화를 시도하는 Stop 랜섬웨어(Ransomware)가 국내외에서 감염이 보고되고 있습니다.


해외에서 공개된 정보에 따르면 크랙(Crack) 사이트에서 다운로드한 파일을 실행할 경우 해외 애드웨어 번들(Bundle) 프로그램에 포함되어 감염이 발생하고 있는 것으로 보고 되고 있으며, 그 외 탐지 내역으로 추정해보면 취약점(Exploit)을 이용한 웹 사이트 접속 시 자동 감염 또는 원격 제어(RDP) 방식으로도 설치가 되는 것으로 보입니다.



체크멀(CheckMAL) 블로그에서 자세하게 다루고 있는 Stop 랜섬웨어는 추가적인 악성 파일 다운로드를 통해 가짜 "Windows Update" 메시지 창을 생성하여 파일 암호화 과정에서 표시될 수 있으며, 그 외 다양한 악의적인 기능 수행이 이루어집니다.

이에 최근 해외에서 Stop 랜섬웨어 무료 복구툴을 이용하여 일부 암호화된 파일에 대한 복구가 가능하므로 관련 내용을 살펴보도록 하겠습니다.


해외 포럼 사이트에 공개된 Stop 랜섬웨어 무료 복구툴(STOPDecrypter)은 다음과 같은 파일 확장명으로 암호화된 파일에 대하여 복구가 가능할 수 있습니다.


파일 암호화 패턴 (STOPDecrypter v2.0.0.0 기준)

결제 안내 파일

.djvu

_openme.txt

.djvuq

_openme.txt

.djvur

_openme.txt

.djvut

_openme.txt

.djvuu

_openme.txt

.pdff

_openme.txt

.puma

!readme.txt

.pumas

!readme.txt

.pumax

!readme.txt

.tfude

_openme.txt

.tfudeq

_openme.txt

.tfudet

_openme.txt

.tro

_openme.txt

.udjvu

_openme.txt


2019년 1월 20일 기준으로 STOPDecrypter v2.0.0.0 버전용 Stop 랜섬웨어 무료 복구툴을 다운로드하여 실행하시면 다음과 같은 메인 화면을 확인할 수 있습니다.



해당 메인 화면에서 "Select Directory (디렉토리 선택)" 버튼을 클릭하여 Stop 랜섬웨어에 의해 암호화된 파일이 존재하는 폴더를 선택하시기 바라며, 선택이 완료된 후에는 하단의 "Decrypt (복호화)" 버튼을 클릭하시면 자동으로 복구가 진행됩니다.



테스트에서는 Stop 랜섬웨어 변종 중 .tro 파일 확장명으로 암호화된 파일을 이용하여 복구를 시도하였으며, 원본 파일로 복구된 파일을 확인해본 결과 정상적으로 복구가 이루어진 것을 확인할 수 있었습니다.



현재 복구를 지원하지 못하는 Stop 랜섬웨어 변종(.rumba)에 의해 암호화된 파일에 대한 복구를 시도할 경우 "No key for ID..." 메시지가 표시되며 복구가 이루어지지 않았음을 안내하고 있습니다.



복구에 실패한 경우에도 마치 복구가 된 것처럼 파일이 처리되어 있지만 Hash값을 비교해보면 암호화된 파일과 일치한 것을 알 수 있으므로 복구 미지원 파일 확장명에 대해서는 복구를 시도하지 마시기 바랍니다.


파일 암호화 패턴

결제 안내 파일

.djvus

_openme.txt

.rumba

_openme.txt

.shadow

!readme.txt

.uudjvu

_openme.txt


그 외 유사 Stop 랜섬웨어 변종 중 STOPDecrypter (v2.0.0.0) 무료 복구툴 버전에서 복구를 지원하지 않는 형태는 위와 같으며, 현재 Stop 랜섬웨어는 2~4일 단위로 지속적인 파일 확장명 변경을 시도하고 있습니다.


그러므로 Stop 랜섬웨어에 의한 피해를 당하지 않도록 인터넷 상에서 신뢰할 수 없는 파일을 다운로드하여 실행할 경우에는 각별히 주의하시기 바라며, Windows, Internet Explorer, Adobe Flash Player와 같은 주요 응용 프로그램에 대한 최신 보안 업데이트를 반드시 설치하시기 바랍니다.


728x90
반응형
  • 지나가던 2019.01.21 09:50 댓글주소 수정/삭제 댓글쓰기

    정확한 정보의 글을 올려주세요 원본글을 읽어보면 The decrypter currently only works if your personal ID is 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0 (supports the OFFLINE KEY used if the malware failed to get a key from its server or if you have been provided a key). 이렇게 작성 되어있는데 감염된 개인 id가 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0 의 일 경우만 복구가 된다고 나와있네요

  • 안녕하세요 2019.02.03 11:54 댓글주소 수정/삭제 댓글쓰기

    2년전에도 님 덕분에 컴터 치료 잘 했었는데요
    질문이 하나 있습니다.
    모르는 외국사이트에서 노래를 다운 받다가
    랜섬웨어에 감염된거 같습니다.
    유형은 "EOGWQWZT" 파일입니다.
    아무리 검색해봐도 아직 나와 있지가 않아서요
    날짜를 보니 작년 11월에 감염된 거 같더라구요.
    감염은 사진이나 동영상 음악파일에는 영향을 주지 않았고
    엑셀파일 PDF파일에만 영향을 주었네요.
    그래서 전염된지 몰랐어요 ㅠㅠ
    혹시 치료 방법이 있을까요? 아니면 더 기다려야 치료 방법이 나올까요?

    • 제공하신 정보로 찾아보니 2018년 11월 15일 오후 3시 40분 ~ 4시 40분경에 Magniber 랜섬웨어(.eogwqwzt)에 의해 암호화된 것 같습니다.

      단지 Magniber 랜섬웨어는 현재 복구툴이 공개된 것이 없으며 아마도 차후에라도 공개될 일은 없을 듯합니다.

      이유는 기존의 Cerber 랜섬웨어가 Magniber 랜섬웨어로 진화된 것인데 Cerber 랜섬웨어가 장기간 활동했지만 결국 복구툴이 나오지 않았습니다.

      해당 랜섬웨어는 Windows 7 + IE 웹 브라우저 환경에서 보안 패치가 제대로 이루어지지 않은 환경에서 인터넷 접속 중 자동 감염되었을겁니다.

      그러므로 항상 최신 보안 업데이트 및 되도록이면 Windows 10 운영 체제를 사용하시기 바랍니다.

      자세한 내용은 http://blog.checkmal.com/221399688914 글을 참조하시기 바랍니다.