2018년 1월 하순경부터 2019년 6월 초까지 국내외를 대상을 광범위한 활동을 하던 GandCrab 랜섬웨어는 2019년 6월 3일경 이후로는 모든 활동을 종료한다는 말대로 현재까지 더 이상의 유포 행위가 발견되지 않고 있습니다.

 

이에 발맞춰 BitDefender 보안 업체는 각국의 수사 기관의 도움을 통해 GandCrab 랜섬웨어 복구키를 수집하여 GandCrab v5.2 버전에 대한 무료 복구툴을 공개하였습니다.

 

  암호화된 파일 패턴 결제 안내 파일
GandCrab v1 랜섬웨어 .GDCB GDCB-DECRYPT.txt
GandCrab v4 랜섬웨어 .KRAB KRAB-DECRYPT.txt

GandCrab v5 랜섬웨어

(v5.0, v5.0.1, v5.0.2, v5.0.3, v5.0.4, v5.1)

.<5~10자리 Random 확장명> <암호화 확장명>-DECRYPT.txt
GandCrab v5.2 랜섬웨어 .<5~10자리 Random 확장명>

<암호화 확장명>-DECRYPT.txt

<암호화 확장명>-MANUAL.txt

 

 

이번에 공개된 GandCrab 랜섬웨어 무료 복구툴은 기존에 복구를 지원하지 않던 v5.2 버전이 추가되어 있으며 이전과 마찬가지로 반드시 파일 암호화 시 생성되었던 1개의 결제 안내 파일을 존재해야지 파일 복구를 할 수 있습니다.

 

GandCrab 랜섬웨어 (v5.2) 결제 안내 파일

우선 자신이 감염된 랜섬웨어의 정확한 버전 확인을 위해서는 결제 안내 파일에 표시된 "GANDCRAB V5.2" 버전인지를 확인하시기 바라며, GandCrab 랜섬웨어 (v5.2)는 2019년 2월 20일경부터 국내에서 탐지가 보고 되었으며 2월 23일에는 기존에 사용하던 <암호화 확장명>-DECRYPT.txt 결제 안내 파일이 <암호화 확장명>-MANUAL.txt 파일명으로 변경이 이루어졌습니다.

 

BitDefender Decryption Utility for GandCrab V1,V4,V5 라이선스 동의창

BitDefender에서 제공하는 무료 복구툴 파일(BDGandCrabDecryptTool.exe)을 다운로드하여 실행하시면 라이선스 동의창이 생성되므로 "I agree with the terms of use (나는 사용 조건에 동의합니다.)" 박스에 체크한 후 "CONTINUE (계속)" 버튼을 클릭하시기 바랍니다.

 

GandCrab V1,V4,V5 랜섬웨어 복구툴 사용 조건

이후 생성된 메시지 창에서는 반드시 해당 툴은 인터넷(Internet)이 연결된 상태에서 사용해야지 파일 복구가 가능하다고 안내하고 있습니다.

 

BitDefender Decryption Utility for GandCrab V1,V4,V5 메인 화면

생성된 BitDefender Decryption Utility for GandCrab V1,V4,V5 메인 화면에서는 "Scan entire system (전체 시스템 검사)", "Backup files (파일 백업)" 선택 사항이 있으며, 개인적으로 만약을 위해 디스크 용량이 허용한다면 파일 백업은 체크하시고 복구를 시도하시기 바랍니다.

 

BitDefender advanced options (고급 옵션)

"ADVANCED OPTIONS (고급 옵션)" 항목에서는 만약 암호화된 폴더 내에 복구된 파일이 이미 존재할 경우 덮어쓰기 방식으로 파일 복구를 진행할지를 묻는 "Overwrite existing clean files (깨끗한 파일이 존재 시 덮어쓰기)" 항목을 제공하고 있습니다.

 

GandCrab 랜섬웨어 파일 복구 완료창

해당 복구툴을 이용하여 GandCrab 랜섬웨어 (v5.2)에 의해 암호화된 파일에 대한 복구를 시도할 경우 (1) 인터넷이 연결되어 있으며 (2) GandCrab 랜섬웨어에 의해 생성된 결제 안내 파일이 존재할 경우 정상적으로 복구가 이루어졌다는 메시지를 확인할 수 있습니다.

 

GandCrab 랜섬웨어 (v5.2)에 의해 암호화된 파일이 복구된 모습

실제 GandCrab 랜섬웨어에 의해 암호화된 파일이 BitDefender 무료 복구툴을 통해 정상적으로 복구가 되었는지 테스트를 해본 결과 원본 파일 모두가 복구된 것을 확인하였습니다.

 

이제 더 이상의 GandCrab 랜섬웨어 유포 활동은 보이지 않지만 동일한 유포 방식으로 Sodinokibi 랜섬웨어가 활동하고 있으며, 기존에 GandCrab 랜섬웨어 감염자 중 원격 제어(RDP) 방식으로 몰래 접근하여 파일 암호화를 시도한 PC의 경우에는 최근 GlobeImposter 랜섬웨어(.DOCM)로 변경되어 동일하게 감염을 시도하고 있는 것으로 보고 있으므로 PC 관리에 신경쓰시기 바랍니다.

 

기존에 GandCrab 랜섬웨어 피해를 보신 분 중에 현재까지 암호화된 파일 복구를 위해 파일을 가지고 있었다면 반드시 무료 복구툴을 이용하여 파일을 복구해 보시기 바랍니다.

 

▶ 이전글 보기 ◀

 

2019/02/19 - [벌새::Software] - GandCrab 랜섬웨어 (v5.1) 무료 복구툴 : BitDefender Decryption Utility for GandCrab v1,v4,v5 (2019.2.19)

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..