조치 가이드

[가이드] 새로운 Magniber 랜섬웨어 복구를 위한 사용자 작업

4월 8일 이후 확인된 메그니베르(Magniber) 랜섬웨어는 기존의 복구툴로 복구가 불가능하다. 이유는 복구를 위해 필요한 벡터정보를 고정값이 아닌 랜덤하게 생성하여 발생한 것으로 동일한 확장자로 암호화된 파일이라도 사용자마다 사용된 벡터정보가 다를 수 있다. (단, 하나의 시스템에서 암호화된 파일은 동일 벡터가 사용)   이러한 문제로 인해 테스트로 복구 서비스를 제공하는 웹 페이지에서도 일부 알려진 포멧(JPG, PNG, BMP, DOCX, PPTX, HWP, XLSX 등)의 파일들을 제외하고 복구가 실패하는 것을 알 수 있다. 또한, 하나의 파일 복구에 8시간 정도 소요될 수 있다는 문구가 추가되었다.   4월 8일 이후에 암호화된 파일을 복구하기 위해서는 감염시점에 무료로 복구 테스트를 제공하는 페이지를 통해 암호화 파일, 복호화 파일 한 쌍을 백업해 둘 필요가 있다. (일정시간이 지나면 해당 서비스 페이지 접속불가) 실패없이 복구에 성공하기 위해서 테스트 복구대상으로는 그림파일, 문서파일 등이 사용되는 것이 좋다. (*.doc, *.pdf, *.xls, *.ppt, *.hwp, *.docx, *.xlsx, *.pptx, *.jpg, *.bmp, *.png 등)  …

Magniber 복구 가능 확장자 목록

해당 문서는 Magniber 랜섬웨어 중 복구가 가능한 확장자 목록을 관리합니다. 툴의 상세 사용법 등의 추가 정보는 이전 글을 참고 하시기 바랍니다. [링크] 복구가능 확장자 키 벡터  kympzmzw Jg5jU6J89CUf9C55  i9w97ywz50w59RQY owxpzylj u4p819wh1464r6J9  mbfRHUlbKJJ7024P prueitfik EV8n879gAC6080r6  Z123yA89q3m063V9 rwighmoz BF16W5aDYzi751NB  B33hQK9E6Sc7P69B bnxzoucsx E88SzQ33TRi0P9g6  Bo3AIJyWc7iuOp91 tzdbkjry n9p2n9Io32Br75pN  ir922Y7f83bb7G12 iuoqetgb QEsN9KZXSp61P956  lM174P1e6J24bZt1 pgvuuryti KHp4217jeDx019Uk  A4pTQ6886b401JR5 zpnjelt LyAAS6Ovr647GO65  nS3A41k9pccn03J2 gnhnzhu I0727788KuT5kAqL  sCnHApaa61l5U2R0 hssjfbd u5f1d693LGkEgX07  kV35Z1K3JB7z6P06 ldolfoxwu i24720y16f10qJ21  fX5U9Z6A2j8ZUvkO zskgavp nuu9WO56Gc0N5hn7  ASY0d6dlyrEH6385 gwinpyizt  dcQOje3dzW469125  T5438Nl5VI62XxM8  hxzrvhh  EsoNSQ0oaSE614v1  lEF91UX3DHb1N194  cmjedin t65Ytyq8kTBxRsvz   w4wP6OG97u9881XB  dzvtwtqz  x1BVyu8F455hjop0  Nc5dS939N5k4cJO2  pxynindl M2zCCsnI02BwA044   a33PrNnPC5196V1M sqzprtt   m6Nc49V5V54458r5  L1Y49jXUlA87y72P  wanmzqw ku5CMd5Q04D5m836  zprBfTG14C37A2t8   wudltho  C06185a29O96539t  Z21763v10u996Ka6  ftmkyyu np0dQ328TCZ3X0m3  dhb1E5ll9is9lf4J   twiozfvn Ri94A630CmT0z9zn   U5p18Y9W83QnPcW2  mncmxtrh  beW4q941272J41gV  I35i5z4qw741rS5Q  yictsss  IK5y8AeoB6mqJt3U IS7K85WQZ7SAQ7IF   bjyefjc  g6Ss47O61810npG1  dFJ13I84R8m8074U  mjzynopr  TWa351q6PbCDL062  DdT89BNpF5893Ay9  slquvqwl  gdg8EMkDv4W249jl  iEaliP0a38PTb266  engebkljb  tkK166zMlh50A65I  l0NV4441rz769hEt  mxelnjrqa  GDd145D46H7708l3  Cw5up332qA5T7032 fkvmhyxp   AqnUw8318N9fOqyw bh1SSx41c9333nNs   tjsqpxh…

Magniber 랜섬웨어 복구툴 (확장자 별 키 정보)

Magniber 랜섬웨어와 외형이 유사한 형태의 랜섬웨어로는 Hermes와 GandCrab 랜섬웨어가 있다. 즉, V3에서 “Trojan/Win32.Magniber”로 진단하는 파일 중에는 실제 Magniber가 아닌 유형이 존재할 수 있다. 각 랜섬웨어 별 랜섬노트를 통해 구분이 가능하다.   §  Hermes : DECRYPT_INFORMATION §  GandCrab : CRAB-DECRYPT §  Magniber : README   복구툴에서 복구가 가능한 형태는 README 이름의 랜섬노트를 갖는 Magniber 랜섬웨어이며, 아래와 같은 화면구성을 갖는다. 붉은색 표시부분의 값이 복구 시 사용되는 키 정보 중, 벡터값(IV)에 해당한다. 3월 30일 부터 현재까지 확인된 Magniber 랜섬웨어 확장자 별 키, 벡터 정보는 아래의 표와 같다. 이후 추가적으로 확인되는 확장자 별 키, 벡터 정보는 http://asec.ahnlab.com/1125 에서 확인 할 수 있다.  날짜 복구가능 확장자 키  벡터   다운로드  3/30  kympzmzw  Jg5jU6J89CUf9C55  i9w97ywz50w59RQY MagniberDecrypt.zip  3/30  owxpzylj  u4p819wh1464r6J9  mbfRHUlbKJJ7024P MagniberDecrypt.zip  3/30  prueitfik  EV8n879gAC6080r6  Z123yA89q3m063V9 MagniberDecrypt.zip  3/31 rwighmoz   BF16W5aDYzi751NB  B33hQK9E6Sc7P69B MagniberDecrypt.zip  3/31  bnxzoucsx…

CryptXXX 랜섬웨어 3.x 버전의 암호화 방식 (부분 복구툴)

지난 5월 26일 CryptXXX 이름의 랜섬웨어 중 2.x 버전에 대한 복구 툴을 배포하였다. 최근에는 복구가 불가능한 버전 3.x의 감염사례가 증가하고 있는 추세이다. 2.x 버전에 대한 복구 툴에서는 3.x 버전으로 암호화된 파일을 진단 시, “CryptXXX 3.x 악성코드에 감염된 파일로 복원이 불가능합니다.”라는 메시지 창을 출력하고 있다. (암호화된 파일을 통해 버전을 확인할 수 있음) 현재까지 확인된 3.x 버전은 3.002, 3.100, 3.102, 3.200, 3.205 버전이며, 최근 “CryptXXX 랜섬웨어 한글화 버전발견” 제목으로 기사화된 파일은 3.100 버전에 해당하며, “온라인 커뮤니티의 광고배너를 통해 유포된 파일”은 3.200 버전에 해당한다. 3.100 버전 이후로는 암호화 파일의 확장자가 “.crypt” 가 아닌 “.cryp1“, “.crypz” 형태로 변경되었다. 본 글에서는 현재까지 확인된 CryptXXX 3.x 버전의 공통된 암호화 방식을 설명하고, 텍스트 형식의 일부 파일들에 대해 내용 중 일부가 손상된 형태이지만, 부분적 복구가 가능함을 소개한다.   [전용복구툴 업데이트] – 2016.06.23…