울지않는벌새 : Security, Movie & Society

Nemty 랜섬웨어 무료 복구툴 : Nemty Decryptor (2019.11.9)

벌새::Software

2019년 8월 하순경 해외에서 첫 등장한 후 기존의 GandCrab 랜섬웨어 또는 Sodinokibi 랜섬웨어와 동일하게 한글로 작성된 이메일을 통해 첨부된 파일을 사용자가 다운로드하여 실행할 경우 파일 암호화를 진행하는 Nemty 랜섬웨어(Ransomware)가 최근까지 활동하고 있습니다.

 

그런데 네덜란드(Nederland)의 TESORION 보안 업체에서 Nemty 랜섬웨어 무료 복구툴을 공개하여 현재 The No More Ransom Project 사이트를 통해 공식적으로 제공하기 시작하였습니다.

 

 

우선 Nemty 랜섬웨어에 대한 기본적인 정보를 체크멀(CheckMAL) 블로그에서 공개한 내용을 참고하시기 바랍니다.

 

Nemty 랜섬웨어 복구툴 - 최종 사용자 라이선스 동의

Nemty 랜섬웨어 무료 복구툴(Nemty Decryptor) 다운로드 후 실행을 하시면 다음과 같은 화면이 자동 생성되며 "Accept the EULA" 동의 버튼을 클릭하시면 진행됩니다.

 

Nemty Decryptor 사용법 안내

실행된 Nemty Decryptor 화면에서는 Usage (사용법)을 통해 파일 복구 방법을 안내하고 있으며, 현재 버전(v2.0.7244.26086)의 경우 파일 복구 진행 내용이 약간 달라졌습니다.

 

우선 Nemty 랜섬웨어 복구툴의 안내에 따르면 다음과 같은 결제 안내 파일이 존재한 변종에 대해서 복구가 가능합니다.

 

파일 암호화 패턴 결제 안내 파일
.nemty NEMTY-DECRYPT.txt
._NEMTY_<7자리 Random>_ NEMTY-DECRYPT.txt
._NEMTY_<7자리 Random>_ _NEMTY_<7자리 Random>_-DECRYPT.txt

해당 조건이 맞는 경우 Nemty 랜섬웨어 복구툴의 Start (시작) 탭을 선택하여 "Select File (파일 선택)" 버튼을 클릭하여 1개의 결제 안내 파일을 찾아 "Send (보내기)"를 클릭하시기 바랍니다.

 

Nemty 랜섬웨어 결제 안내 파일 업로드

선택된 결제 안내 파일은 TESORION 서버로 전송이 이루어지므로 반드시 인터넷이 연결된 상태에서 진행해야 합니다.

 

Nemty 랜섬웨어 (v1.6) 결제 안내 파일

참고로 파일 복구 시 결제 안내 파일을 요구하는 이유는 해당 파일 내에 "NEMTY DECRYPTION KEY (Nemty 복구키)" 정보가 포함되어 있기 때문입니다.

 

Nemty 랜섬웨어에 의해 암호화된 파일 선택

다음 단계에서는 Nemty 랜섬웨어에 의해 암호화된 파일들이 존재하는 특정 폴더를 "Select (선택)"한 후 "Decrypt (복구)" 버튼을 클릭하시기 바랍니다. 단, 파일 복구가 진행되는 동안 반드시 인터넷에 연결된 상태를 유지해야 합니다.

 

Nemty 랜섬웨어에 의해 암호화된 파일 복구 화면

Nemty Decryptor에 의해 파일 복구가 진행되는 과정을 살펴보면 첫 번째 파일의 복구는 상당 시간이 소요되며, 이는 최초 안내문에 나온 것처럼 복구 서버 사용 빈도에 따라 최초 몇 분에서 30분 수준까지 걸릴 수 있습니다. 단, 첫 번째 파일 복구 이후에는 다소 빠른 속도로 복구가 이루어질 수 있지만 전반적으로 상당히 오랜 시간을 요구하고 있으므로 폴더 선택 시 특정 폴더를 생성한 후 중요하거나 복구가 급한 파일을 먼저 폴더에 넣고 진행하시길 추천해 드립니다.

 

만약 1개의 파일 복구가 완료된 후 다음 파일에 대한 복구가 진행될 경우 아래와 같은 메시지를 확인할 수 있으며, 실제 파일 복구가 완료된 파일을 확인해보면 정상적으로 복구가 이루어진 것을 확인할 수 있었습니다.

 

Nemty Decryptor 파일 복구 진행 화면

하지만 2019년 10월 하순경 Nemty 랜섬웨어 무료 복구툴이 공개되면서 해당 랜섬웨어 제작자는 얼마 후 Nemty 랜섬웨어 (v2.0) 버전 업데이트를 통해 현재 다음과 같은 패턴에 대해서는 복구를 지원할 수 없습니다.

 

파일 암호화 패턴 결제 안내 파일
.NEMTY_<7자리 Random> NEMTY_<7자리 Random>-DECRYPT.txt

Nemty 랜섬웨어 (v2.0) 결제 안내 파일

그러므로 기존에 Nemty 랜섬웨어에 의해 파일 암호화가 이루어져서 피해를 당하신 분의 경우 Nemty 랜섬웨어 무료 복구툴을 이용하여 복구를 진행해 보시기 바라며, Nemty 랜섬웨어 감염자는 차후 유사한 메일에 포함된 첨부 파일을 단순히 문서 파일로 착각하여 실행하여 또 다시 피해를 당하지 않도록 기본적인 보안 지식을 습득하실 필요가 있습니다.