Magniber 랜섬웨어 복구툴 (확장자 별 키 정보)

Magniber 랜섬웨어와 외형이 유사한 형태의 랜섬웨어로는 HermesGandCrab 랜섬웨어가 있다, V3에서 “Trojan/Win32.Magniber”로 진단하는 파일 중에는 실제 Magniber가 아닌 유형이 존재할 수 있다. 각 랜섬웨어 별 랜섬노트를 통해 구분이 가능하다.

 

§  Hermes : DECRYPT_INFORMATION

§  GandCrab : CRAB-DECRYPT

§  Magniber : README

 

복구툴에서 복구가 가능한 형태는 README 이름의 랜섬노트를 갖는 Magniber 랜섬웨어이며, 아래와 같은 화면구성을 갖는다. 붉은색 표시부분의 값이 복구 시 사용되는 키 정보 중, 벡터값(IV)에 해당한다.

3 30일 부터 현재까지 확인된 Magniber 랜섬웨어 확장자 별 키, 벡터 정보는 아래의 표와 같다. 이후 추가적으로 확인되는 확장자 별 키, 벡터 정보는 http://asec.ahnlab.com/1125 에서 확인 할 수 있다.

 날짜

복구가능 확장자

키 

벡터 

 다운로드

 3/30

 kympzmzw

 Jg5jU6J89CUf9C55

 i9w97ywz50w59RQY

MagniberDecrypt.zip

 3/30

 owxpzylj

 u4p819wh1464r6J9

 mbfRHUlbKJJ7024P

MagniberDecrypt.zip

 3/30

 prueitfik

 EV8n879gAC6080r6

 Z123yA89q3m063V9

MagniberDecrypt.zip

 3/31

rwighmoz 

 BF16W5aDYzi751NB

 B33hQK9E6Sc7P69B

MagniberDecrypt.zip

 3/31

 bnxzoucsx

 E88SzQ33TRi0P9g6

 Bo3AIJyWc7iuOp91

MagniberDecrypt.zip

 3/31

 tzdbkjry

n9p2n9Io32Br75pN 

ir922Y7f83bb7G12 

MagniberDecrypt.zip

 4/1

 iuoqetgb

 QEsN9KZXSp61P956

lM174P1e6J24bZt1 

MagniberDecrypt.zip

 4/1

pgvuuryti 

 KHp4217jeDx019Uk

 A4pTQ6886b401JR5

MagniberDecrypt.zip

 4/2

 zpnjelt

 LyAAS6Ovr647GO65

 nS3A41k9pccn03J2

MagniberDecrypt.zip

 4/2

 gnhnzhu

 I0727788KuT5kAqL

 sCnHApaa61l5U2R0

MagniberDecrypt.zip

 4/3

 hssjfbd

 u5f1d693LGkEgX07

 kV35Z1K3JB7z6P06

MagniberDecrypt.zip

 4/3

 ldolfoxwu

 i24720y16f10qJ21

 fX5U9Z6A2j8ZUvkO

MagniberDecrypt.zip

 4/3

 zskgavp

 nuu9WO56Gc0N5hn7

 ASY0d6dlyrEH6385

MagniberDecrypt.zip

 4/3

 gwinpyizt

 dcQOje3dzW469125

 T5438Nl5VI62XxM8

MagniberDecrypt.zip

표에 언급된 예제 중, 3월 30일자의 prueitfik 확장자를 갖는 파일에 대해 복구툴을 이용한 복구 방법은 다음과 같다. (* cmd.exe 를 관리자 권한으로 실행)

1) 단일 파일에 대해 복구할 경우

/f 옵션에 파일에 대한 경로를 지정한 후 “/e 확장자 /k 키 /v 벡터 값”을 입력한다.

2) 특정 드라이브(이동식 디스크 등) 혹은 폴더에 대해 전체 복구할 경우

3) “c:” 부터 복구할 경우

특정 폴더 나 드라이브를 지정하지 않더라도, c: 경로 부터 탐색 한다. 이 때는 /f, /d 옵션을 주지 않아도 된다.

※ 암호화된 파일이 존재하는 특정 폴더에 대해서 “파일 목록 읽기 실패”할 경우에는 임의로 새 폴더를 생성하여 해당 폴더에 파일들을 저장하고 /d “새 폴더 경로” 옵션을 통해 복호화 하면된다.

복구가 완료될 경우 아래 그림처럼 “.prueitfik” 확장자가 제거된 상태로 같은 경로에 저장된다.

[업데이트 – 2018.04.03]

모든 폴더를 대상으로 자동으로 진행하는 bat 파일 추가 업데이트

1. 암호화 확장자에 해당하는 탭의 다운로드 항목의 zip 파일을 다운로드

2. 압축 해제 후 bat 파일을 관리자 권한으로 실행

[복구툴 다운로드]

“안랩이 제공하는 전용 백신 및 랜섬웨어 복구툴은 사용자가 비영리 목적으로 다운로드하여 설치 및 이용할 수 있으나 영리적인 목적으로의 사용은 금지되어 있습니다.

만약 영리적인 목적의 이용 · 판매  · 재판매 행위가 확인될 시에는 법적 조치를 취할 수 있음을 밝혀둡니다.”


※ 현재 매그니베르 랜섬웨어에 대한 복구툴 업데이트는 랜섬웨어 암호화 방식 변경 등을 이유로 더 이상 지원되지 않습니다.

Categories:조치 가이드

5 1 vote
별점 주기
Subscribe
Notify of
guest

23 댓글
Inline Feedbacks
View all comments
정서??
정서??
1 year ago

복구툴 대신 아래 형태 파일만 다운로드 되는데 맞는건가요?
1124_cfile30.uf@9960FF425AC19E71147F9F.exe
해당 파일은 실행해도 아무 반응이 없습니다.

trackback

[…] + 여기서 자세히 보기 […]

ㅇㅇㅇ
ㅇㅇㅇ
1 year ago

gcofuorj 이 확장자로 갑자기 변경되었어요ㅠㅠ
위에 코드로는 복구 불가능하겠죠??

dmdld?*
dmdld?*
1 year ago

18년 11월 21일날 랜선웨어에 걸렸습니다  http://e8944e20dac03e90709caae07.3evxqcodzvc62djn.onion/refibfmfc 이거인데 refibfmfc 이거 파일은 혹시 없나요? ㅜㅜ

Miss LAM
Miss LAM
1 year ago

Any 복구가능 확장자 for “blrkvlpxh” ?

trackback

[…] + 여기서 자세히 보기 […]

Joe
Joe
9 months ago

please save me
Can you tell me how to unlock it?
Grateful
Thank u very much

1676511174025.jpg
trackback

[…] 더 읽어보기 […]

trackback

[…] 세부 정보를 보려면 여기를 클릭하십시오. […]

trackback

[…] 더 읽어보기 […]

trackback

[…] 세부 정보를 보려면 여기를 클릭하십시오. […]

trackback

[…] 세부 정보를 보려면 여기를 클릭하십시오. […]

trackback

[…] 세부 정보를 보려면 여기를 클릭하십시오. […]

AKAMI
6 months ago

http://wvwc00w4ldwy4lnl5n00ncmucllra.i25ltwkzxs2jxwyylrv5sy3is7wgik7unnmae6ispxrrdhdx5nmr5xyd.onion/mucllra

이녀석한테 걸려버렸습니다.
MP4나 EXE는 문제가 없는데..
이미지 와 포토샵작업파일 MKV파일 등등이 걸려버렸씁니다.

아것애 대한 키는 없는건지요?

bongs
bongs
4 months ago

wsjeuno 부탁드립니다

손경권
손경권
4 months ago

nimpjdo 라는 명칭으로 확장자가 전부 변경되었습니다ㅠㅠ

제 소중한 추억과 자료들을 날리지않게 부탁드립니다

랜섬웨어 캡쳐.PNG
clupanx
clupanx
3 months ago

clupanx 확장자 부탁드립니다.

trackback

[…] 더 읽어보기 […]