본문 바로가기
조치 가이드

Magniber 랜섬웨어 복구툴 (랜덤벡터 복구기능 포함)

by AhnLab ASEC 분석팀 2018. 4. 12.

기존의 메그니베르(Magniber) 랜섬웨어 복구툴을 GUI형태로 개선하였으며, 4 8일부터 확인된 가변적 벡터로 인해 복구가 불가능한 부분을 지원한다. (, 확장자, 키 정보와 함께 암호화/복호화 파일 쌍이 존재하는 경우로 제한)


새로운 복구툴은 아래와 같은 화면이며, 암호화 확장자 정보만 입력하면 해당하는 키(Key), 벡터(IV)정보가 보여지는 구조를 갖는다. 확장자에 대한 키, 벡터정보는 복구툴 내부에 "magniber.db" 이름의 데이터베이스 파일로 관리되며 지속적으로 업데이트하여 제공할 예정이다. (2019년 10월 현재는 종료함) 만약, 확장자 입력 후 키, 벡터정보가 보여지지 않으면 복구가 불가능한 것으로 "magniber.db" 파일이 업데이트가 되어야 한다.



[복구툴 사용방법]


1) 감염된 PC“MagniberDecrypt.exe” 파일을 다운로드 및 실행합니다.

- 복구 시 드라이브를 자동으로 탐색하기 때문에 설치 경로는 중요하지 않습니다.



2) 복구툴 실행 시, 같은 경로에 설치파일이 포함된 폴더가 생성되고, 자동으로 프로그램이 실행됩니다. 프로그램 창이 뜨면 암호화 확장자를 입력하는 부분에 암호화된 파일의 확장자를 입력하고 확인버튼을 누릅니다.



사례(1) : 확장자 입력 시 KeyIV 값 모두 표시


확장자를 입력하고 확인버튼을 눌렀을 때 KeyIV 값이 존재하는 경우, “Start” 버튼을 누르면 자동으로 파일을 복구합니다. 암호화된 파일은 삭제되지 않습니다. 이에 복호화를 위한 별도의 용량을 확보해 두어야 합니다.




사례(2) : 확장자 입력 시 Key 값만 존재 (IV 값 없음)


아래의 그림에서 처럼 확장자를 입력했을 때 Key 값만 존재하는 경우, 원본 파일과 암호화된 파일이 필요합니다. 원본 파일은 랜섬웨어 감염 시 접속되는 페이지에서 제공하는 복구 작업을 통해 얻어야 합니다 일정시간이 지나면 해당 서비스 페이지에 접속이 불가능하니 감염 시점에 복구 파일을 백업해 둘 필요가 있습니다.


ASEC블로그: http://asec.ahnlab.com/1127 (참고)



원본 파일과 감염된 파일 한 쌍이 확보된 경우, 복구툴 원본 파일”, “암호화 파일에 각각의 파일 경로를 입력합니다. “…” 버튼 클릭 시 파일을 선택할 수 있습니다. 입력 후 “Start” 버튼을 누르면 자동으로 파일을 복구합니다. 감염 파일은 삭제되지 않습니다.




사례(3) : 확장자 입력 시 지원하지 않는다는 경고 창 생성 (magniber.db 파일 업데이트 필요)

 

1) 확장자 입력 시 아래 그림과 같은 경고창이 발생하는 경우게시글에 첨부된 "magniber.db" 파일 업데이트가 필요합니다. "magniber.db" 파일은 확장자, Key, IV 값이 저장되어 있으며 지속적으로 업데이트 될 예정입니다.




2) ASEC블로그를 통해 데이터베이스 파일이 업데이트된 경우MagniberDecrypt.exe 파일을 실행한 경로와 같은 경로에 생성된 폴더("AhnlabMagniberDecrypt") 들어가서 magniber.db 파일을 덮어씁니다.

 

[주의] 

magniber.db 파일을 업데이트 한 경우원본 MagniberDecrypt.exe”를 재 실행시키면 magniber.db 파일이 초기화됩니다따라서 복구툴을 종료하고 다시 실행시킬 경우에는 AhnlabMagniberDecrypt 폴더에 존재하는 MagniberDecrypt.exe”를 사용하세요.



사례(4) : magniber.db 가 아닌 수동으로 값을 입력해야 하는 경우

 

복구툴 우측 상단에 존재하는 “전문가용”을 체크하고 키와 벡터 정보를 직접 복구툴에 입력해줍니다입력 후 Start 버튼을 누르면 자동으로 파일을 복구합니다암호화된 파일은 삭제되지 않습니다이에 복호화를 위한 별도의 용량을 확보해 두어야 합니다.

 

*복구툴 다운로드: https://www.ahnlab.com/kr/site/download/product/productVaccineList.do

(위 페이지 접속하여 "MagniberDecrypt.exe" 파일 다운로드)


"안랩이 제공하는 전용 백신 및 랜섬웨어 복구툴은 사용자가 비영리 목적으로 다운로드하여 설치 및 이용할 수 있으나 영리적인 목적으로의 사용은 금지되어 있습니다.

만약 영리적인 목적의 이용 · 판매  · 재판매 행위가 확인될 시에는 법적 조치를 취할 수 있음을 밝혀둡니다."


[4월 19일자] - Update!!


[4월 12일자]

복구가능목록.xlsx

magniber.db



* 기존에 아래의 페이지에 [] 형태로 제공한 확장자//벡터 정보는 수량이 많아, 앞으로는 DB파일과 엑셀파일 형태로 첨부하여 제공합니다.

- http://asec.ahnlab.com/1125


* 기존 Github에 공개된 Magniber 랜섬웨어 복구관련 소스코드에서는 CHUNK_SIZE 128 바이트로 되어있으나, 현재 국내 유포되는 형태는 0x100000 바이트이다. 해당 값이 수정되지 않으면, 일부 복구된 파일 끝에 패딩 데이터가 존재하여 실행 시, 손상파일로 인식될 수 있다.

https://gist.github.com/evilsocket/b89df665e6d52446e3e353fc1cc44711




※ 현재 매그니베르 랜섬웨어에 대한 복구툴 업데이트는 랜섬웨어 암호화 방식 변경 등을 이유로 더 이상 지원되지 않습니다.


댓글54

    이전 댓글 더보기
  • 츄르륵 2019.05.30 19:51 신고

    gzfcqzftk 에 감염되엇습니다 ㅠㅠㅠㅠㅠ 도와주세요 ㅠㅠ
    답글

  • fomzecx 에 감염되었습니다. 도와주십시요 정말 중요한 애기들사진이 다 묶여있습니다. 비용이 너무 비쌉니다. 복원업체
    부탁드립니다.
    답글

  • 2019.06.24 15:26

    비밀댓글입니다
    답글

  • 달타르 2019.07.03 21:38 신고

    wpgatrju. 에 감염되었습니다. 당장 사용할 세무자료부터 영업자료, 가족사진까지 모든 파일을 사용할 수가 없네요. 복호화툴 부탁드립니다 ㅠㅠ
    답글

  • 화조 2019.07.09 20:55 신고

    mdctogpwm 6월인가 7월인지 감염되었습니다. ㅜㅜ 사진 동영상 중요한 자료들 많아요. 제발 부탁드려요
    답글

  • 윤재2 2019.07.31 20:26 신고

    안녕하세요. 업데이트 부탁드립니다ㅜㅜ
    확장자명은 raanyuhn 입니다. 2018년 6월 말 경 감염되었습니다ㅠ
    업데이트 부탁드립니다. 감사합니다.
    답글

  • tlaqhdu 2019.08.19 10:08 신고

    riobdfc 확장자로 08-14 감염되었습니다. 복구 툴 부탁드릴게요ㅠㅠㅠ
    중요한 자료가 모두다 쓸 수가 없게되어서요ㅠㅠㅠㅠ

    답글

  • 자크타티 2019.09.03 01:39 신고

    제발 도와주세요 부탁합니다. 확장자명 fhsrmt6 입니다.
    소중한 추억들이 다 날라가게 생겼네요 ㅜㅜㅜ
    제발 한번만 도와주시면 은혜 잊지않겠습니다. 감염날짜는 2019-09-03 입니다
    흑흑 ㅜㅜㅜ
    답글

  • 고맘 2019.09.17 11:59 신고

    안녕하세요. 9월 14일에 확장자명 pvwljzp 에 감염이 되었습니다. 중요한 자료들이 열리지 않아ㅠㅠ 급하게 문의를 드립니다. 부탁드립니다ㅠ
    답글

  • 승수파파 2019.09.26 20:52 신고

    수고가많으십니다. 제발 도와주십시오.
    확장자 fdksecx 입니다.
    오래동안 모은 자료와 작업물들이 다 감염되어 열리지가 않습니다.
    포기하고싶지만 희망을 가지고 있습니다.
    부탁드리겠습니다.ㅜㅜ
    답글

  • 그 동안의 성과를 확인했습니다. 도움을 요청합니다.
    확장자는 xzrhqfzt 입니다.
    작업물하고 자료의 감염으로 애로를 경험하고 있습니다.
    부탁 드립니다.
    답글

  • kskater 2019.10.15 11:55 신고

    확장자 wlvglbsqf로 감염되었습니다.
    복구툴에서는 아직 지원하지않는 확장자라고 하는데요.
    키와 벡터정보 업데이트를 간곡히 부탁드립니다.
    답글

  • 호빈파파 2019.10.16 13:56 신고

    확장자 ienztuv에 감염 되었습니다. 아이들 사진을 전부 잃게될까 너무 걱정입니다. 그 동안의 작업물과 함께 학업 자료도 전부 잃게 될까 걱정입니다. 꼭 도와주세요. 부탁드립니다.
    답글

  • eugyaeugya 2019.10.28 17:43 신고

    업데이트가 계속 진행중인가요..? 도움을 요청드립니다..
    확장자 ybxypebio입니다. 업데이트가 진행중이라면 부탁드리구요..ㅜ

    여러 관련된 글들을 보면서 이렇게 저렇게 따라해보긴 했는데,
    이해가 잘 안 되는 것들도 많고 어렵네요..

    리드미 텍스트 파일에 기재된 주소로 들어가서 블로그에 소개된 글을 참고하며 샘플 하나 복구는 해보았는데, 그 파일로 무언가를 진행하는 건가요?
    이런 부분은 잘 몰라서 너무 어렵고 막막합니다..ㅜ

    key와 Ⅳ값을 알 수 있는 방법이 따로 있는지도 궁금합니다..ㅜ

    도움주시길 부탁드립니다...ㅜ
    답글

  • 써니텐텐 2019.11.01 13:48 신고

    savibolzb 로 매그니베르 감염됐어요~
    엑셀, 한글 , 사진파일 감염됐던데... 중요한 파일이라 복구툴 부탁드립니다 ㅠㅠ
    답글

  • 윤재2 2019.11.04 19:44 신고

    안녕하세요. 확장자명 raanyuhn 업데이트 부탁드립니다...

    2018년 6월말 쯤 감염되었습니다.... raanyuhn 업데이트 부탁드려요ㅜㅜ감사합니다...
    답글

  • 안녕하세요.
    2019년 11월 26일 확장자 xovgpqf로 감염이 되었습니다. 퇴직여행,졸업식 등 부모님의 10년간의 모든 추억이 전부 담겨있습니다..정말 죽고 싶습니다...제발 도와주셔요.....
    답글

  • 씨클로 2020.01.07 22:22 신고

    yqbbkfxoa 로 감염되었습니다. 업데이트가 부디 되었으면 합니다 ~~
    답글

  • ※ 현재 매그니베르 랜섬웨어에 대한 복구툴 업데이트는 랜섬웨어 암호화 방식 변경 등을 이유로 더 이상 지원되지 않습니다.
    답글

    • slowreal 2020.04.27 16:14 신고

      vgybuqind 감염자입니다;;

      궁금한게 있는데요 현재 안랩은 더이상 메그니베르 복구툴 업데이트를 하지 않으시는데요

      혹시 다른 업체나 공신력있는 단체에서 업데이트를 하고있는 곳이 있을까요?

      다들 마찬가지겠지만 제가 걸린 확장자명은 네이버에 검색해도 복구가 가능하다고 나오는데 미숙한 제 기술로는 여기저기 찾아도 자료가 나오지않네요.
      안랩처럼 공공적으로 해당키를 푼 단체가 있는지..
      카페나 업체에서 해당 확장자명을 복구할수있다는걸 믿을수 있는지도 알고싶어서요.

  • zxcvbn 2020.06.12 11:09 신고

    안녕하세요..... 2018년 10월에 dejijtaz 확장자로 감영되었는데요. 혹시 이거 복구할 수 있는 복구툴이 있나요?????
    답변 부탁드립니다. ㅜㅜ
    답글