울지않는벌새 : Security, Movie & Society

GandCrab 랜섬웨어 (v5.1) 무료 복구툴 : BitDefender Decryption Utility for GandCrab v1,v4,v5 (2019.2.19)

벌새::Software

2018년 1월 하순경에 첫 등장하여 현재까지 꾸준하게 전 세계를 상대로 유포가 진행되고 있는 GandCrab 랜섬웨어(Ransomware)는 버전 업데이트를 통한 지속적인 관리와 특히 국내 인터넷 사용자를 대상으로 이메일 또는 한글로 제작된 다운로드 페이지를 통해 공격이 진행되고 있습니다.



작년 BitDefender 보안 업체에서는 GandCrab 랜섬웨어에 의해 암호화된 파일 중 v1, v4, v5 버전에 대한 무료 복구툴을 공개하였으며, 이에 GandCrab 랜섬웨어는 버전 업데이트를 통해 v5.0.4 버전으로 복구되지 않도록 수정이 이루어졌었습니다.

이에 BitDefender 보안 업체에서는 최근 유포가 진행되고 있는 v5.1 버전까지 복구할 수 있는 새로운 GandCrab 랜섬웨어 무료 복구툴을 공개하였습니다.

 

암호화된 파일 패턴

결제 안내 파일

GandCrab v1 랜섬웨어

.GDCB

GDCB-DECRYPT.txt

GandCrab v4 랜섬웨어

.KRAB

KRAB-DECRYPT.txt

GandCrab v5 랜섬웨어

(v5.0, v5.0.1, v5.0.2, v5.0.3, v5.0.4, v5.1)

.<5~10자리 Random 확장명>

<암호화 확장명>-DECRYPT.txt



우선 대표적으로 국내에서 GandCrab 랜섬웨어에 감염될 수 있는 유포 방식은 .js 스크립트 파일 다운로드를 통한 실행 또는 이메일을 통해 이력서, 신분증, 명예 훼손 등과 관련된 MS Word 문서 파일로 위장한 이중 파일 확장명을 사용하는 실행 파일을 통해 이루어지고 있습니다.



기존의 BitDefender 랜섬웨어 무료 복구툴이 v5.0.4 버전에 대하여 복구를 지원하지 않은 점이 있었기에 이번에 공개된 무료 복구툴에서 가능한지 여부도 함께 테스트를 진행하였으며, v5.1 버전의 경우에는 오늘(2월 19일)에 유포된 "입사지원서_190219.doc <공란> .exe" 파일(SHA-1 : 30e2626c8f2b3237af10d149b8f88238acdbd64e - Microsoft : Trojan:Win32/Sonbokli.A!cl)을 통해 복구 여부를 확인하였습니다.


우선 BitDefender 보안 업체에서 제공하는 무료 복구툴 BitDefender Decryption Utility for GandCrab v1,v4,v5 파일(BDGandCrabDecryptTool.exe)을 다운로드하시기 바랍니다.



다운로드된 파일을 실행(관리자 권한으로 실행)한 후 "I agree with the terms of use" 박스에 체크를 하신 후 "CONTINUE (계속)" 버튼을 클릭하시기 바랍니다.



다음 단계에서는 "This utility decrypts files encrypted by the GandCrab V1,V4,V5 ransomware. This tool requires internet access!" 메시지 창이 뜨며 해당 복구툴을 이용하기 위해서는 반드시 인터넷이 연결된 상태에서 사용이 가능하다고 언급하고 있습니다.



다음 단계에서는 "Scan entire system (전체 시스템 검사)""Backup files (백업 파일 생성)" 옵션이 있는데, 원활한 진행을 위해서는 해당 박스에 모두 체크를 하시고 "START TOOL (복구툴 시작)" 버튼을 클릭하시기 바랍니다.


단, GandCrab 랜섬웨어 복구툴을 이용하여 암호화된 파일을 복구하기 위해서는 반드시 인터넷에 연결된 상태와 함께 GandCrab 랜섬웨어에 의해 생성되었던 <암호화 확장명>-DECRYPT.txt 메시지 파일이 1개는 존재해야 합니다.



이유는 위와 같은 GandCrab 랜섬웨어 (v5.1) 메시지 파일 하단에는 파일 복구를 위한 GandCrab Key 및 PC Data 정보가 포함되어 있으며, 해당 정보를 알 수 없는 경우 파일 복구가 이루어지지 않습니다.



실제로 GandCrab 랜섬웨어가 생성한 결제 안내 파일이 존재하지 않은 상태에서 복구를 시도할 경우 "Unknown ransom note!" 메시지가 출력되며, 로그를 확인해보면 <암호화 확장명>-DECRYPT.txt 메시지 파일이 없어서 실패하였음을 알 수 있습니다.



실제 복구툴을 통한 검사 과정에서 RCVHGJCHUX-DECRYPT.txt 메시지 파일을 검색하는 부분을 발견할 수 있습니다.



정상적으로 파일 복구가 진행될 경우 위와 같은 로그 정보를 확인할 수 있으며, 파일 복구 속도 역시 빠른 편입니다.



모든 파일 복구가 완료된 후에는 위와 같은 메시지가 출력되며, 사용자는 프로그램을 종료하시면 됩니다.


GandCrab 랜섬웨어 (v5.0.4) 복구 완료


GandCrab 랜섬웨어 (v5.1) 복구 완료


테스트에서는 GandCrab 랜섬웨어 v5.0.4 버전과 v5.1 버전으로 암호화된 파일에 대한 복구 여부를 확인하였으며, 모두 정상적으로 원본 파일이 복구된 것을 확인하였습니다.


참고로 복구툴의 옵션에서 백업 파일 생성(Backup files)을 선택하여 암호화된 파일을 그대로 유지하였으며, 차후 해당 파일을 직접 삭제하시기 바랍니다.


이번에도 GandCrab 랜섬웨어 무료 복구툴이 공개되었지만 조만간 GandCrab 랜섬웨어는 기존처럼 버전 업데이트 또는 수정을 통해 복구가 이루어질 수 없도록 변경이 이루어질 것이므로 피해를 당하지 않도록 최신 감염 방식에 대한 정보를 잘 확인하시기 바랍니다.