본글은 2016년 12월 23일에 작성했던 글로
nomoreransom이 한국어서비스를 지원하지 않을때
랜섬웨어를 해독했던 내용을 다루고 있습니다.
홈페이지에서 서툰 번역체 한국어를 지원하기 때문에
걱정하시는 분들이 많이 계시는 것 같아서
실제로 복호화 했던 내용을 다시 재업로드 해드립니다.
해당 사이트는 매우 안전! 한 사이트이며
현재 복호화가 가능한 종류가 많이 늘어났으니
기존에 감염되어 묵혀둔 자료가 있으시다면
확인해보시기 바랍니다
https://www.nomoreransom.org
https://www.nomoreransom.org
-----------------------------------------------------------------------------------------
먼저 랜섬웨어 복호화에 대해서 의뢰를 받았던건 2016년 5월중순 경이었습니다.
최초 암호화 되었던 랜섬웨어는 CRYPT XXX 3.0 RSA-4096으로 구형 랜섬웨어 였습니다.
하지만 회사의 결산내역 및 회계자료를 담은 중요파일인지라 바로 파일을 전송받지 못하였고
시간이 흘러 5월 말 즈음 파일을 전송 받았습니다.
전송받고 파일을 열어보니 CRYPT XXX 3.0이었으나 며칠 사이에 RZA-4096으로
변종이 진행되어 있었고 더이상 복호화가 불가능했습니다.
기존 RSA-4096과 달리 RZA-4096은 암호화 과정에서 200kb를 추가시키는 방식의 변종으로
카스퍼스키에서 제작된 Decryptor를 무력화시켰습니다.
안랩에서 제작된 Decryptor의 경우는
공개키(0x80) + 시그니처(0x118) + 최소문자크기(0x40) = 0x1D8(=472) 의 조건 때문에 복호화를 진행하려는 파일의 최소 크기가 472바이트 이상 되어야만 했습니다.
공개키(0x80) + 시그니처(0x118) + 최소문자크기(0x40) = 0x1D8(=472) 의 조건 때문에 복호화를 진행하려는 파일의 최소 크기가 472바이트 이상 되어야만 했습니다.
하지만 대부분 문서파일 인지라 472바이트에 해당되지 않아서 복호화가 불가능했습니다.
더불어 안랩 Decryptor로 복호화를 진행할 경우 위와같이 부분만 파일이 복구되는 모습을 보였으며
위 사진의 경우는 정말 성공적으로 복호화 된 경우지 사실은 복호화를 진행하여도
대부분 문서가 열리지 않거나 텍스트가 모두 깨지는 등의 증세를 보였습니다
이후 해외사이트에서 TREND MICRO Decryptor로 복호화를 진행해보았습니다.
하지만 위와 같이 PDF의 일부만 해독에 성공했을뿐 정상적인 파일이 아니었습니다.
하지만 위와 같이 PDF의 일부만 해독에 성공했을뿐 정상적인 파일이 아니었습니다.
JPEGSnoop를 통해 파일의 복구를 진행해보았지만 그 역시 불가능했습니다.
마지막으로 이틀전 업뎃이 진행된 no more ransom의 rannohdecryptor로 복호화를 진행해보았습니다.
no more ransom은 랜섬웨어에 대응하고자 각국의 보안전문가들과 네티즌들이 모여 결성된
no more ransom은 랜섬웨어에 대응하고자 각국의 보안전문가들과 네티즌들이 모여 결성된
랜섬웨어대응센터로 궁극적으로 랜섬웨어를 종식시키는데 그 의의를 두고 있습니다.
제가 받은 복호화 툴은 카스퍼스키에서 개발이 진행된 툴이었고
그 결과..
짠!
복호화 성공!
사진파일, PDF, HWP 등등 모두 정상적으로 파일이 복호화가 되었습니다.
깨짐이나 오작동 없이 정상작동 하였습니다.
CRYPT XXX 3.0 RSA-4096 이외에 다양한 복호화 툴을 아래 사이트에서 다운로드 가능하오니
CRYPT XXX 3.0 RSA-4096 이외에 다양한 복호화 툴을 아래 사이트에서 다운로드 가능하오니
묵혀두었던 소중한 자료들을 어서 복구하시고 좋은거는 *-_-* 공유바랍니다
그럼 20000~~~
오 어렵지만 나중에 도움될거같아 스크립해두었습니다.
감사합니다
와 고생하셨어여 !
주소가 nomo 로 시작하네요
일단 노모는 추천입니다
cerber랜섬웨어는 복구가 안되나요.. 혹시 몰라서 하드 하나는 걍 보관해뒀는데..
오 역시 능력자들은 다르네요
역시 컴게 복자는 최고군여! 고생하셨습니다!
멋지세요~
나중을 위해 스크랩해둘께요 ^^