유머천국 코하비닷컴
https://cohabe.com/sisa/50013

CRYPT XXX 3.0 신형변종(RZA-4096) 랜섬웨어 복호화 성공

제목 없음.png


먼저 랜섬웨어 복호화에 대해서 의뢰를 받았던건 5월중순 경이었습니다.
최초 암호화 되었던 랜섬웨어는 CRYPT XXX 3.0 RSA-4096으로 구형 랜섬웨어 였습니다.


2.png


하지만 회사의 결산내역 및 회계자료를 담은 중요파일인지라 바로 파일을 전송받지 못하였고
시간이 흘러 5월 말 즈음 파일을 전송 받았습니다.


3.png



전송받고 파일을 열어보니 CRYPT XXX 3.0이었으나 며칠 사이에 RZA-4096으로
변종이 진행되어 있었고 더이상 복호화가 불가능했습니다.

기존 RSA-4096과 달리 RZA-4096은 암호화 과정에서 200kb를 추가시키는 방식의 변종으로
카스퍼스키에서 제작된 Decryptor를 무력화시켰습니다.

제목 없음.png


안랩에서 제작된 Decryptor의 경우는
공개키(0x80) + 시그니처(0x118) + 최소문자크기(0x40) = 0x1D8(=472) 의 조건 때문에 복호화를 진행하려는 파일의 최소 크기가 472바이트 이상 되어야만 했습니다.

하지만 대부분 문서파일 인지라 472바이트에 해당되지 않아서 복호화가 불가능했습니다.
그림(4)_원본과비교.png

더불어 안랩 Decryptor로 복호화를 진행할 경우 위와같이 부분만 파일이 복구되는 모습을 보였으며
위 사진의 경우는 정말 성공적으로 복호화 된 경우지 사실은 복호화를 진행하여도
대부분 문서가 열리지 않거나 텍스트가 모두 깨지는 등의 증세를 보였습니다.
제목 없음.png

부분복구.png
이후 해외사이트에서 TREND MICRO Decryptor로 복호화를 진행해보았습니다.
하지만 위와 같이 PDF의 일부만 해독에 성공했을뿐 정상적인 파일이 아니었습니다.

JPEGSnoop를 통해 파일의 복구를 진행해보았지만 그 역시 불가능했습니다.
제목 없음.png


마지막으로 이틀전 업뎃이 진행된 no more ransom의 rannohdecryptor로 복호화를 진행해보았습니다.
no more ransom은 랜섬웨어에 대응하고자 각국의 보안전문가들과 네티즌들이 모여 결성된
랜섬웨어대응센터로 궁극적으로 랜섬웨어를 종식시키는데 그 의의를 두고 있습니다.

제가 받은 복호화 툴은 카스퍼스키에서 개발이 진행된 툴이었고


그 결과..



9.png



짠!

복호화 성공!

사진파일, PDF, HWP 등등 모두 정상적으로 파일이 복호화가 되었습니다.
깨짐이나 오작동 없이 정상작동 하였습니다.
CRYPT XXX 3.0 RSA-4096 이외에 다양한 복호화 툴을 아래 사이트에서 다운로드 가능하오니
묵혀두었던 소중한 자료들을 어서 복구하시고 좋은거는 *-_-* 공유바랍니다
그럼 20000~~~



댓글
  • 2016/12/23 14:21

    이런 세상에 이게 무슨말이지;;
    이분 닉과 내용이 전혀 매칭되질않아,,,(동공지진)

    (zXCKE5)

  • 바리안 2016/12/23 14:21

    우와대다내

    (zXCKE5)

  • 이건익 2016/12/23 14:33

    요즘 주변 사람들도 랜섬웨어 많이 걸리더 군요 .좋은 글 감사합니다. 점

    (zXCKE5)

  • 난구름 2016/12/23 14:34

    뭐래~!!! 하하하 감사합니다....

    (zXCKE5)

  • 비치나 2016/12/23 14:46

    .

    (zXCKE5)

  • 빵떡이꺼 2016/12/23 14:52

    랜섬웨어를 두번이나 주변에서 본 저로선 개추!

    (zXCKE5)

(zXCKE5)