본문 바로가기

악성코드 정보

Magniber 랜섬웨어 복구툴 (랜덤벡터 복구기능 포함)

기존의 메그니베르(Magniber) 랜섬웨어 복구툴을 GUI형태로 개선하였으며, 4 8일부터 확인된 가변적 벡터로 인해 복구가 불가능한 부분을 지원한다. (, 확장자, 키 정보와 함께 암호화/복호화 파일 쌍이 존재하는 경우로 제한)


새로운 복구툴은 아래와 같은 화면이며, 암호화 확장자 정보만 입력하면 해당하는 키(Key), 벡터(IV)정보가 보여지는 구조를 갖는다. 확장자에 대한 키, 벡터정보는 복구툴 내부에 "magniber.db" 이름의 데이터베이스 파일로 관리되며 지속적으로 업데이트하여 제공할 예정이다. 만약, 확장자 입력 후 키, 벡터정보가 보여지지 않으면 복구가 불가능한 것으로 "magniber.db" 파일이 업데이트가 되어야 한다.



[복구툴 사용방법]


1) 감염된 PC“MagniberDecrypt.exe” 파일을 다운로드 및 실행합니다.

- 복구 시 드라이브를 자동으로 탐색하기 때문에 설치 경로는 중요하지 않습니다.



2) 복구툴 실행 시, 같은 경로에 설치파일이 포함된 폴더가 생성되고, 자동으로 프로그램이 실행됩니다. 프로그램 창이 뜨면 암호화 확장자를 입력하는 부분에 암호화된 파일의 확장자를 입력하고 확인버튼을 누릅니다.



사례(1) : 확장자 입력 시 KeyIV 값 모두 표시


확장자를 입력하고 확인버튼을 눌렀을 때 KeyIV 값이 존재하는 경우, “Start” 버튼을 누르면 자동으로 파일을 복구합니다. 암호화된 파일은 삭제되지 않습니다. 이에 복호화를 위한 별도의 용량을 확보해 두어야 합니다.




사례(2) : 확장자 입력 시 Key 값만 존재 (IV 값 없음)


아래의 그림에서 처럼 확장자를 입력했을 때 Key 값만 존재하는 경우, 원본 파일과 암호화된 파일이 필요합니다. 원본 파일은 랜섬웨어 감염 시 접속되는 페이지에서 제공하는 복구 작업을 통해 얻어야 합니다 일정시간이 지나면 해당 서비스 페이지에 접속이 불가능하니 감염 시점에 복구 파일을 백업해 둘 필요가 있습니다.


ASEC블로그: http://asec.ahnlab.com/1127 (참고)



원본 파일과 감염된 파일 한 쌍이 확보된 경우, 복구툴 원본 파일”, “암호화 파일에 각각의 파일 경로를 입력합니다. “…” 버튼 클릭 시 파일을 선택할 수 있습니다. 입력 후 “Start” 버튼을 누르면 자동으로 파일을 복구합니다. 감염 파일은 삭제되지 않습니다.




사례(3) : 확장자 입력 시 지원하지 않는다는 경고 창 생성 (magniber.db 파일 업데이트 필요)

 

1) 확장자 입력 시 아래 그림과 같은 경고창이 발생하는 경우게시글에 첨부된 "magniber.db" 파일 업데이트가 필요합니다. "magniber.db" 파일은 확장자, Key, IV 값이 저장되어 있으며 지속적으로 업데이트 될 예정입니다.




2) ASEC블로그를 통해 데이터베이스 파일이 업데이트된 경우MagniberDecrypt.exe 파일을 실행한 경로와 같은 경로에 생성된 폴더("AhnlabMagniberDecrypt") 들어가서 magniber.db 파일을 덮어씁니다.

 

[주의] 

magniber.db 파일을 업데이트 한 경우원본 MagniberDecrypt.exe”를 재 실행시키면 magniber.db 파일이 초기화됩니다따라서 복구툴을 종료하고 다시 실행시킬 경우에는 AhnlabMagniberDecrypt 폴더에 존재하는 MagniberDecrypt.exe”를 사용하세요.



사례(4) : magniber.db 가 아닌 수동으로 값을 입력해야 하는 경우

 

복구툴 우측 상단에 존재하는 “전문가용”을 체크하고 키와 벡터 정보를 직접 복구툴에 입력해줍니다입력 후 Start 버튼을 누르면 자동으로 파일을 복구합니다암호화된 파일은 삭제되지 않습니다이에 복호화를 위한 별도의 용량을 확보해 두어야 합니다.

 

*복구툴 다운로드: https://www.ahnlab.com/kr/site/download/product/productVaccineList.do

(위 페이지 접속하여 "MagniberDecrypt.exe" 파일 다운로드)


"안랩이 제공하는 전용 백신 및 랜섬웨어 복구툴은 사용자가 비영리 목적으로 다운로드하여 설치 및 이용할 수 있으나 영리적인 목적으로의 사용은 금지되어 있습니다.

만약 영리적인 목적의 이용 · 판매  · 재판매 행위가 확인될 시에는 법적 조치를 취할 수 있음을 밝혀둡니다."


[4월 19일자] - Update!!


[4월 12일자]

복구가능목록.xlsx

magniber.db



* 기존에 아래의 페이지에 [] 형태로 제공한 확장자//벡터 정보는 수량이 많아, 앞으로는 DB파일과 엑셀파일 형태로 첨부하여 제공합니다.

- http://asec.ahnlab.com/1125


* 기존 Github에 공개된 Magniber 랜섬웨어 복구관련 소스코드에서는 CHUNK_SIZE 128 바이트로 되어있으나, 현재 국내 유포되는 형태는 0x100000 바이트이다. 해당 값이 수정되지 않으면, 일부 복구된 파일 끝에 패딩 데이터가 존재하여 실행 시, 손상파일로 인식될 수 있다.

https://gist.github.com/evilsocket/b89df665e6d52446e3e353fc1cc44711


  • 비밀댓글입니다

  • 2017년 11월 25일~27일 감염된 것으로 추정됩니다.
    시간이 좀 걸릴 것 같지만 찾아보고 업데이트될 수 있도록 해보겠습니다.
    감사합니다.

  • 안녕하세요? 주말까지 고생이 많으시네요.

    xuuqmvkie 감염되었습니다.

    Ahnlab Magniber Decrypt V4로 치료를 하려고
    원본파일(1회 지원 복구된 파일)과 감염파일(xuuqmvkie확장자)을 했는데

    "
    복호화를 시작합니다.
    C 드라이브 탐색 중
    복호화를 완료 했습니다.
    "

    시작하고 탐색한다음 완료까지 몇 초도 안걸리더라구요.
    D 드라이브도 있는데 D 드라이브는 탐색 안하구요.

    예상한대로 파일들이 복구되지 않았어요.

    관리자 권한으로 실행했고,
    혹시 몰라서 Ahnlab Magniber Decrypt V4 도 다시 설치해 보았고,
    데이터베이스 파일(magniber.db)는 최신거라 지원되지 않는다라는 건 없었고,

    이런 경우 어떻게 해야 할까요?

    파일 복원에만 신경쓰느라
    랜섬웨어는 아직 치료되지는 않았는데, 어떻게 치료해야 하나요?

    감사합니다~

  • 몇년전에 케르베르 랜섬웨어 감염되었는데, 아직까지 해결을 못하고 있습니다.
    저는 감염파일이(m42Uyzo3By.95de), (LiZFIDBHdv.95de) 이런 형태로 확장자가
    95de라는 이상한 명으로 바뀌었더라구요.
    이거 어떻게 해결해야 하나요? 파일이 꽤 여러개인데... 도와주십시오.

  • 비밀댓글입니다

  • 17.12.09 날짜부로 *.CWHHWVDC 확장자를 가진 랜섬웨어에 감염되어 제 파일들이 암호화되었습니다.
    당시부터 한국랜섬웨어침해대응센터와 No More Ransome Project 두 곳을 모니터링하고 있습니다.
    반년이 넘게 마이랜섬웨어 모니터링을 하고 있으니, 안랩에서 꾸준히 잘 대응하고 있는 것 같아 해당 확장자에 대한 복호화가 진행을 기대해봅니다. 업무 관련 파일 중 살려내어야 하는 자료가 있어 이렇게 부탁드립니다. 감사합니다.

  • 오늘 컴퓨터를 켰는데 파일마다 veketwntk 이게 붙어있고 열리지가 않아요.
    아무래도 랜섬웨어에 감염된거 같은데.. 아직 업데이트가 안된거죠? 검색이 되지 않네요ㅠㅠ

  • 현재 제 컴퓨터가 Magniber 랜섬웨어 감염의심이 됩니다.
    폴더에 readme.txt 파일이 생성되었고, 엑셀 및 한글, 캐드파일 등 주요 파일들에
    wckphzqgv 확장자가 붙으며 변조되었으며, 10월 말부터 11월 초 사이에 감염된 것 같습니다.
    업무 관련 파일등 대다수가 감염되어 복호화 진행이 필요한 상황입니다. 도움 부탁드립니다.
    감사합니다.

  • fvumtrqyt 확장자의 2018-11-09 날짜로 랜섬웨어 감염되었습니다. T T

    국가적인 차원에서의 예방/대응이 필요할 것 같은데, 소잃고 외양간 고칠까봐 걱정이네요.
    구글링을해도 magniber 관련해서 ASEC 만큼 가이드 된곳이 없네요.

    백업한 파일이 있어,
    암호화, 복호화 파일은 준비 될 수 있을 것 같은데,

    fvumtrqyt 키 업데이트 가능할런지요?

  • fknxcxrr 확장자로 랜섬웨어에 감염되었습니다.
    감염 시점은 올해 초였던 것 같네요.(2018.01 예상)
    애타게 복호화 툴을 기다리고 있는데
    부디 좋은 소식 있었으면 좋겠습니다^^

  • 안녕하세요 hrjqsufgc 확장자에 감염됐습니다.
    복구키만 알면 제가 알아서 ASEC에서 만들어주신 복구툴로 혼자 복구할수 있을까 싶네요.
    복구키라도 빨리 알아내서 공지해주셨으면 좋겠습니다.
    복구키와 복호화 툴이 나오는 날만 기다리겠습니다.
    감사합니다.

  • 며칠전 확장자 xgdppxngo 매그니베르 감염됐습니다.
    희망이 전혀 없는건가요... 가족들 사진들이 다 날라가게 생겨서 애타는 심정입니다. ㅠㅠ

  • 안녕하세요 lwbjpujkl 확장자로 메그니베르에 감염이 되었습니다.
    날짜는 11월 말 가까이 쯤으로 추정합니다.
    복구키가 있으면 복구 가능할듯 싶습니다.
    교회에서 만들어온 자료를 빨리라도 복구하고싶습니다.
    복구키와 복호화 툴 업데이트 기다리겠습니다.

  • 12월10일경 fjiidmjr 확장자로 암호화 된듯 싶습니다.
    key와 IV값이 아직 지원되지 않아서 아직 복구는 못 하고있는데
    안랩만 믿고 있겠습니다..
    지원된다는 확신은 없지만 안랩이라는 작은 희망을 보고 갑니다... ㅠㅠ

  • 비밀댓글입니다

  • wohjmmv 확장자로 메그니베르에 감염이 되었어요...
    날짜는 2019.2.9이구요 key,iv 목록에 없더라구요 ㅠㅠ 어떻게 해야하나요..

  • bidhxxa 확장자로 메그니베르 감염 됐습니다.
    2018년도 쯤에 감염된것같은데...
    혹시 복구 가능할지요...
    관심 부탁드립니다.