2018년 11월 초부터 현재까지 다양한 파일 확장명 형태로 파일 암호화를 시도하는 Stop 랜섬웨어(Ransomware)가 국내외에서 감염이 보고되고 있습니다.


해외에서 공개된 정보에 따르면 크랙(Crack) 사이트에서 다운로드한 파일을 실행할 경우 해외 애드웨어 번들(Bundle) 프로그램에 포함되어 감염이 발생하고 있는 것으로 보고 되고 있으며, 그 외 탐지 내역으로 추정해보면 취약점(Exploit)을 이용한 웹 사이트 접속 시 자동 감염 또는 원격 제어(RDP) 방식으로도 설치가 되는 것으로 보입니다.



체크멀(CheckMAL) 블로그에서 자세하게 다루고 있는 Stop 랜섬웨어는 추가적인 악성 파일 다운로드를 통해 가짜 "Windows Update" 메시지 창을 생성하여 파일 암호화 과정에서 표시될 수 있으며, 그 외 다양한 악의적인 기능 수행이 이루어집니다.

이에 최근 해외에서 Stop 랜섬웨어 무료 복구툴을 이용하여 일부 암호화된 파일에 대한 복구가 가능하므로 관련 내용을 살펴보도록 하겠습니다.


해외 포럼 사이트에 공개된 Stop 랜섬웨어 무료 복구툴(STOPDecrypter)은 다음과 같은 파일 확장명으로 암호화된 파일에 대하여 복구가 가능할 수 있습니다.


파일 암호화 패턴 (STOPDecrypter v2.0.0.0 기준)

결제 안내 파일

.djvu

_openme.txt

.djvuq

_openme.txt

.djvur

_openme.txt

.djvut

_openme.txt

.djvuu

_openme.txt

.pdff

_openme.txt

.puma

!readme.txt

.pumas

!readme.txt

.pumax

!readme.txt

.tfude

_openme.txt

.tfudeq

_openme.txt

.tfudet

_openme.txt

.tro

_openme.txt

.udjvu

_openme.txt


2019년 1월 20일 기준으로 STOPDecrypter v2.0.0.0 버전용 Stop 랜섬웨어 무료 복구툴을 다운로드하여 실행하시면 다음과 같은 메인 화면을 확인할 수 있습니다.



해당 메인 화면에서 "Select Directory (디렉토리 선택)" 버튼을 클릭하여 Stop 랜섬웨어에 의해 암호화된 파일이 존재하는 폴더를 선택하시기 바라며, 선택이 완료된 후에는 하단의 "Decrypt (복호화)" 버튼을 클릭하시면 자동으로 복구가 진행됩니다.



테스트에서는 Stop 랜섬웨어 변종 중 .tro 파일 확장명으로 암호화된 파일을 이용하여 복구를 시도하였으며, 원본 파일로 복구된 파일을 확인해본 결과 정상적으로 복구가 이루어진 것을 확인할 수 있었습니다.



현재 복구를 지원하지 못하는 Stop 랜섬웨어 변종(.rumba)에 의해 암호화된 파일에 대한 복구를 시도할 경우 "No key for ID..." 메시지가 표시되며 복구가 이루어지지 않았음을 안내하고 있습니다.



복구에 실패한 경우에도 마치 복구가 된 것처럼 파일이 처리되어 있지만 Hash값을 비교해보면 암호화된 파일과 일치한 것을 알 수 있으므로 복구 미지원 파일 확장명에 대해서는 복구를 시도하지 마시기 바랍니다.


파일 암호화 패턴

결제 안내 파일

.djvus

_openme.txt

.rumba

_openme.txt

.shadow

!readme.txt

.uudjvu

_openme.txt


그 외 유사 Stop 랜섬웨어 변종 중 STOPDecrypter (v2.0.0.0) 무료 복구툴 버전에서 복구를 지원하지 않는 형태는 위와 같으며, 현재 Stop 랜섬웨어는 2~4일 단위로 지속적인 파일 확장명 변경을 시도하고 있습니다.


그러므로 Stop 랜섬웨어에 의한 피해를 당하지 않도록 인터넷 상에서 신뢰할 수 없는 파일을 다운로드하여 실행할 경우에는 각별히 주의하시기 바라며, Windows, Internet Explorer, Adobe Flash Player와 같은 주요 응용 프로그램에 대한 최신 보안 업데이트를 반드시 설치하시기 바랍니다.


블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..