어제인 1025Bitdefender에서 GandCrab 버전 1, 4, 5에 대한 복구툴을 배포하였다. 해당 복구 툴은 아래 Bitdefender 페이지에서 다운로드 할 수 있으며, 자사에서 확인한 결과 지역에 상관없이 위 버전으로 암호화 된 모든 파일이 정상적으로 복구될 수 있음을 확인하였다. (국내 사용자에게도 유효)


-  https://labs.bitdefender.com/2018/10/bitdefender-law-enforcement-solve-for-multiple-versions-of-gandcrab-with-new-decryptor/


자사에서 이전에 GandCrab의 암호화 방식을 설명하였던 게시글의 내용처럼 GandCrab 버전 4, 5는 랜섬노트 내부에는 파일 복구를 위한 핵심 키인 로컬 개인키를 암호화 한 Salsa 키, 벡터 쌍이 존재한다. 다만 이 쌍이 공격자의 공개키로 암호화되어있고, 공격자 개인키는 공격자만이 알고 있기 때문에 복구가 불가능했다.



[그림1] - GandCrab 버전 4, 5 암호화 방식



따라서 Bitdefender에서 공개한 복구툴은 [그림2]의 3번처럼 랜섬노트가 존재하지 않으면 복구가 불가능 하다는 Fail문구를 나타내고, 피해 시스템의 랜섬노트 내용을 확인하여 Bitdefender 서버와 연결하여 검증 작업을 거친 후 검증 성공시 복구를 진행한다. 따라서 [그림2]의 2번처럼 네트워크가 비활성화 된 시스템에서는 복구를 진행 할 수 없다. 


[그림2] - Bitdefender 복구툴 



Bitdefender에서는 공격자의 개인키를 확보한 것으로 보이며 아래 Bitdefender의 설명과 같이 루마니아 경찰과 FBI의 지원을 받은 것으로 확인된다


[그림3] - GandCrab 복구툴 관련 글 일부 (Bitdefender)



이제는 시리아 뿐 아니라 모든 지역의 GandCrab 버전 1, 4, 5로 암호화 된 파일은 복구가 가능해진 것이다. 다만 반드시 랜섬노트([암호화된 확장자]-DECRYPT.txt)가 필요하기 때문에 암호화가 되었을 시 랜섬노트를 삭제하지 않아야 한다. 


그 동안 수시로 변경되는 양상을 보였던 V3 Lite 제품에 대한 Uninstall 기능에 대한 행위변화가 10월 18일 이후부터 확인되지 않고 있으며, GandCrab에 대한 국내 감염자 수도 감소하는 추세이다. 제작자에 대한 수사기관의 추적, 복구툴 배포 등과 관련이 있을 것으로 추정된다.


Posted by 분석팀