조치 가이드

Magniber 랜섬웨어 복구툴 (확장자 별 키 정보)

Magniber 랜섬웨어와 외형이 유사한 형태의 랜섬웨어로는 Hermes와 GandCrab 랜섬웨어가 있다. 즉, V3에서 “Trojan/Win32.Magniber”로 진단하는 파일 중에는 실제 Magniber가 아닌 유형이 존재할 수 있다. 각 랜섬웨어 별 랜섬노트를 통해 구분이 가능하다.   §  Hermes : DECRYPT_INFORMATION §  GandCrab : CRAB-DECRYPT §  Magniber : README   복구툴에서 복구가 가능한 형태는 README 이름의 랜섬노트를 갖는 Magniber 랜섬웨어이며, 아래와 같은 화면구성을 갖는다. 붉은색 표시부분의 값이 복구 시 사용되는 키 정보 중, 벡터값(IV)에 해당한다. 3월 30일 부터 현재까지 확인된 Magniber 랜섬웨어 확장자 별 키, 벡터 정보는 아래의 표와 같다. 이후 추가적으로 확인되는 확장자 별 키, 벡터 정보는 http://asec.ahnlab.com/1125 에서 확인 할 수 있다.  날짜 복구가능 확장자 키  벡터   다운로드  3/30  kympzmzw  Jg5jU6J89CUf9C55  i9w97ywz50w59RQY MagniberDecrypt.zip  3/30  owxpzylj  u4p819wh1464r6J9  mbfRHUlbKJJ7024P MagniberDecrypt.zip  3/30  prueitfik  EV8n879gAC6080r6  Z123yA89q3m063V9 MagniberDecrypt.zip  3/31 rwighmoz   BF16W5aDYzi751NB  B33hQK9E6Sc7P69B MagniberDecrypt.zip  3/31  bnxzoucsx…

CryptXXX 랜섬웨어 3.x 버전의 암호화 방식 (부분 복구툴)

지난 5월 26일 CryptXXX 이름의 랜섬웨어 중 2.x 버전에 대한 복구 툴을 배포하였다. 최근에는 복구가 불가능한 버전 3.x의 감염사례가 증가하고 있는 추세이다. 2.x 버전에 대한 복구 툴에서는 3.x 버전으로 암호화된 파일을 진단 시, “CryptXXX 3.x 악성코드에 감염된 파일로 복원이 불가능합니다.”라는 메시지 창을 출력하고 있다. (암호화된 파일을 통해 버전을 확인할 수 있음) 현재까지 확인된 3.x 버전은 3.002, 3.100, 3.102, 3.200, 3.205 버전이며, 최근 “CryptXXX 랜섬웨어 한글화 버전발견” 제목으로 기사화된 파일은 3.100 버전에 해당하며, “온라인 커뮤니티의 광고배너를 통해 유포된 파일”은 3.200 버전에 해당한다. 3.100 버전 이후로는 암호화 파일의 확장자가 “.crypt” 가 아닌 “.cryp1“, “.crypz” 형태로 변경되었다. 본 글에서는 현재까지 확인된 CryptXXX 3.x 버전의 공통된 암호화 방식을 설명하고, 텍스트 형식의 일부 파일들에 대해 내용 중 일부가 손상된 형태이지만, 부분적 복구가 가능함을 소개한다.   [전용복구툴 업데이트] – 2016.06.23…