본문 바로가기

벌새::Software

GandCrab 랜섬웨어 (v5.1) 무료 복구툴 : BitDefender Decryption Utility for GandCrab v1,v4,v5 (2019.2.19)

반응형

2018년 1월 하순경에 첫 등장하여 현재까지 꾸준하게 전 세계를 상대로 유포가 진행되고 있는 GandCrab 랜섬웨어(Ransomware)는 버전 업데이트를 통한 지속적인 관리와 특히 국내 인터넷 사용자를 대상으로 이메일 또는 한글로 제작된 다운로드 페이지를 통해 공격이 진행되고 있습니다.

 

 
작년 BitDefender 보안 업체에서는 GandCrab 랜섬웨어에 의해 암호화된 파일 중 v1, v4, v5 버전에 대한 무료 복구툴을 공개하였으며, 이에 GandCrab 랜섬웨어는 버전 업데이트를 통해 v5.0.4 버전으로 복구되지 않도록 수정이 이루어졌었습니다.
 
이에 BitDefender 보안 업체에서는 최근 유포가 진행되고 있는 v5.1 버전까지 복구할 수 있는 새로운 GandCrab 랜섬웨어 무료 복구툴을 공개하였습니다.
 

 

암호화된 파일 패턴

결제 안내 파일

GandCrab v1 랜섬웨어

.GDCB

GDCB-DECRYPT.txt

GandCrab v4 랜섬웨어

.KRAB

KRAB-DECRYPT.txt

GandCrab v5 랜섬웨어

(v5.0, v5.0.1, v5.0.2, v5.0.3, v5.0.4, v5.1)

.<5~10자리 Random 확장명>

<암호화 확장명>-DECRYPT.txt

 

 

우선 대표적으로 국내에서 GandCrab 랜섬웨어에 감염될 수 있는 유포 방식은 .js 스크립트 파일 다운로드를 통한 실행 또는 이메일을 통해 이력서, 신분증, 명예 훼손 등과 관련된 MS Word 문서 파일로 위장한 이중 파일 확장명을 사용하는 실행 파일을 통해 이루어지고 있습니다.

 

 

기존의 BitDefender 랜섬웨어 무료 복구툴이 v5.0.4 버전에 대하여 복구를 지원하지 않은 점이 있었기에 이번에 공개된 무료 복구툴에서 가능한지 여부도 함께 테스트를 진행하였으며, v5.1 버전의 경우에는 오늘(2월 19일)에 유포된 "입사지원서_190219.doc <공란> .exe" 파일(SHA-1 : 30e2626c8f2b3237af10d149b8f88238acdbd64e - Microsoft : Trojan:Win32/Sonbokli.A!cl)을 통해 복구 여부를 확인하였습니다.

 

우선 BitDefender 보안 업체에서 제공하는 무료 복구툴 BitDefender Decryption Utility for GandCrab v1,v4,v5 파일(BDGandCrabDecryptTool.exe)을 다운로드하시기 바랍니다.

 

 

다운로드된 파일을 실행(관리자 권한으로 실행)한 후 "I agree with the terms of use" 박스에 체크를 하신 후 "CONTINUE (계속)" 버튼을 클릭하시기 바랍니다.

 

 

다음 단계에서는 "This utility decrypts files encrypted by the GandCrab V1,V4,V5 ransomware. This tool requires internet access!" 메시지 창이 뜨며 해당 복구툴을 이용하기 위해서는 반드시 인터넷이 연결된 상태에서 사용이 가능하다고 언급하고 있습니다.

 

 

다음 단계에서는 "Scan entire system (전체 시스템 검사)""Backup files (백업 파일 생성)" 옵션이 있는데, 원활한 진행을 위해서는 해당 박스에 모두 체크를 하시고 "START TOOL (복구툴 시작)" 버튼을 클릭하시기 바랍니다.

 

단, GandCrab 랜섬웨어 복구툴을 이용하여 암호화된 파일을 복구하기 위해서는 반드시 인터넷에 연결된 상태와 함께 GandCrab 랜섬웨어에 의해 생성되었던 <암호화 확장명>-DECRYPT.txt 메시지 파일이 1개는 존재해야 합니다.

 

 

이유는 위와 같은 GandCrab 랜섬웨어 (v5.1) 메시지 파일 하단에는 파일 복구를 위한 GandCrab Key 및 PC Data 정보가 포함되어 있으며, 해당 정보를 알 수 없는 경우 파일 복구가 이루어지지 않습니다.

 

 

실제로 GandCrab 랜섬웨어가 생성한 결제 안내 파일이 존재하지 않은 상태에서 복구를 시도할 경우 "Unknown ransom note!" 메시지가 출력되며, 로그를 확인해보면 <암호화 확장명>-DECRYPT.txt 메시지 파일이 없어서 실패하였음을 알 수 있습니다.

 

 

실제 복구툴을 통한 검사 과정에서 RCVHGJCHUX-DECRYPT.txt 메시지 파일을 검색하는 부분을 발견할 수 있습니다.

 

 

정상적으로 파일 복구가 진행될 경우 위와 같은 로그 정보를 확인할 수 있으며, 파일 복구 속도 역시 빠른 편입니다.

 

 

모든 파일 복구가 완료된 후에는 위와 같은 메시지가 출력되며, 사용자는 프로그램을 종료하시면 됩니다.

 

GandCrab 랜섬웨어 (v5.0.4) 복구 완료

 

GandCrab 랜섬웨어 (v5.1) 복구 완료

 

테스트에서는 GandCrab 랜섬웨어 v5.0.4 버전과 v5.1 버전으로 암호화된 파일에 대한 복구 여부를 확인하였으며, 모두 정상적으로 원본 파일이 복구된 것을 확인하였습니다.

 

참고로 복구툴의 옵션에서 백업 파일 생성(Backup files)을 선택하여 암호화된 파일을 그대로 유지하였으며, 차후 해당 파일을 직접 삭제하시기 바랍니다.

 

이번에도 GandCrab 랜섬웨어 무료 복구툴이 공개되었지만 조만간 GandCrab 랜섬웨어는 기존처럼 버전 업데이트 또는 수정을 통해 복구가 이루어질 수 없도록 변경이 이루어질 것이므로 피해를 당하지 않도록 최신 감염 방식에 대한 정보를 잘 확인하시기 바랍니다.

728x90
반응형
  • CHRISRED 2019.02.19 23:22 댓글주소 수정/삭제 댓글쓰기

    V5.1에 대응한 해독툴이 나온 시점이니 V5.2 V5.3등 버전을 바꾸거나 암호화 패턴을 바꾸어서 복호화 툴을 무력화 시킬것 같네요

    • 당연히 자신의 돈벌이를 방해했으니 짧은 기간 내에 변화를 줄겁니다.

      그리고 이건 제 생각에는 암호화 방식이 깨진건 아니고 아마도 복구키 서버를 압수했거나 해킹해서 빼낸게 아닌가도 싶습니다.

      결과적으로 서버 보안 강화 방식으로 변화를 줄 확률이 높을 듯 싶습니다.

  • ㅇㅇ 2019.02.20 09:29 댓글주소 수정/삭제 댓글쓰기

    혹시 경로 지정할때 폴더 이름이 한글이면 복구가 안되지여??

    한글폴더가 많아서 일일히 다 변경해줘야 되네여 ㅠ

    -------

    아 다시해보니 맨위 경로만 영어로 되있으면 아래쪽은 한글이여도 상관없이 잘되네여 ㅎㅎ

    • 지정한 폴더 경로가 한글 폴더명인 경우 버그가 있는지 안되더군요.

      예 : D:/문서 폴더

      그래서 전체 검사 방식으로 안내해 드렸습니다.

  • 이 블로그에는 트랙백을 달 수 없습니다 라고 나오네요~~ 뭔이슈죠 ㅎㅎ

  • 피해자 2019.02.22 17:25 댓글주소 수정/삭제 댓글쓰기

    감사합니다
    오늘 바이러스가 걸렸는데, mzk 툴로 바이러스는 빨리 잡았습니다.

    이후 복구툴을 사용하려고 실행하여 전체폴더와 백업에 체크하고 돌렸어요
    같은 폴더에 ( )-decrypt.txt 파일이 있는데도 복구를 할 수 없다고 뜨네요
    어떻게 된 걸까요?

    폴더이름을 영어로 바꾸고 실행해봐도 복구를 할 수 없다고 뜹니다 ㅠ

    아 ! ( )-decrypt.txt 파일을 확인하니
    첫줄에 5.2 버전이라고 나오네요

    벌써 업그레이드가 됐나봐요 ㅠ

    • 이 글에서 언급한 것처럼 GandCrab 랜섬웨어 (v5.1) 버전까지만 복구를 지원합니다.

      5.2 버전은 현재로서는 복구 불가능하므로 일단 암호화된 파일과 메시지 파일(.txt) 1개는 따로 잘 백업해 두시기 바랍니다.

      아마 차후에 추가적인 복구툴이 몇 개월 후에는 다시 나오지 않을까도 싶습니다.

  • 피해자 2019.02.23 06:35 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 며칠전 이력서를 사칭한 메일을 열었다가 gandcrab5.1에 걸렸는데
    복구업체에 맡겨도 안되더라구요.
    위글처럼 프로그램 설치해서 똑같이 진행해도 안풀리던데 ㅠㅠ 어찌해야할까요? 파티션나눈 D드라이브까지 걸려있는데 그곳에 정말 중요한 백업파일이라 꼭 살려야하는데 도와주세요.

  • 복구완료^^ 2019.03.05 15:03 댓글주소 수정/삭제 댓글쓰기

    자세한 설명 감사합니다.
    5.0.4 복구용 기다리다가,,, 계속 안나오길래, 포기하려했는데, 간만에 찾아보니... 드디어 복구툴이 나와서 복구 완료했습니다^^
    감염 컴퓨터 운영체제가 XP라서 그런지 계속 안되길래... 혹시나 하는 마음에 공유 걸어놓고, 네트워크상의 다른컴퓨터(윈도우 7)에서 네트워크로 복구했더니 되네요.
    용량도 많고, 네트워크상이라 그런지 시간은 좀 오래 걸리긴 했지만, 그래도 안지우고 놔뒀더니... 결국은 복구했네요.
    조심해야겠다고 한번 더 다짐하네요.