본문바로가기

홈 > 커뮤니티 > 랜섬웨어 복호화 툴

랜섬웨어 복호화 툴

CryptXXX3.0 계열 복호화 방법

2016-06-14 18:33:36

       


글로벌 보안 업체인 안랩(Ahnlab)에서 CryptXXX3.0 계열(crypt, cryp1, crypz) 랜섬웨어에 감염된 데이터를 일부 확장자 확장자 파일에 대해

부분적 복호화가 가능한 프로그램를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.


본 과정은 CryptXXX3.0 계열만 적용되며, 이외에 다른 랜섬웨어는 적용되지 않습니다.
암호화 방식이 복호화가 불가능한 공개키 사용을 파일 전체가 아닌 일부 구간에만 사용되어 공개키를 사용하지 않는 부분을 복호화하는 과정이며

복구 가능한 확장자가 아니거나 조건에 부합되지 않는 경우 복원되지 않으므로 진행 전 절차내용을 숙지하시기 바랍니다. 

본 과정은 안랩에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.


반드시 복사본으로 시도하시기 바랍니다.  

(출처: http://asec.ahnlab.com/1045 , http://asec.ahnlab.com/1046)

 

 

​ 복호화 진행절차  

 부분 복구 가능 확장자 - java, html, cpp, txt, htm, php, vbs, asp, pas, jsp, asm, xml, dtd, cmd, css, sql, py, js, cs, sh, vb, 

                             ps, pl, c, h, docx, xlsx, pptx


(조건-1) 암호화된 파일의 최소크기는 472 바이트 이상

: 공개키 암호화 크기(0x80) + 최소비교문자크기(0x40) + 악성코드 시그니처(0x118) = 0x1D8 (=472)

 

(조건-2) ANSI 형태로 저장된 문서이면서, 특정범위가 "한글/영문/기호/숫자" 데이터로만 채워진 경우

​: 같은 복구대상 확장자라도 UTF-8, UNICODE 등 ANSI가 아닌 형태로 저장된 경우는 부분 복구가 불가능하며, 원본 파일시작 0x40~0x80 범위 내의 

 데이터는 반드시 "한글/영문/기호/숫자" 형태로만 존재해야 함(한자, 러시아어, 일본어 등이 존재할 경우 복구불가) 

 

→ 위 조건에 부합되지 않는 경우 복원 실패 또는 진단하지 못하며, 부분 복호화이기 때문에 정상적으로 문서 열람이 불가능하거나 일부 데이터가 

   제거된 형태로 보여질 수 있습니다.

 


1. CryptXXX_Decryptor_3.x.exe 다운로드

 

CryptXXX Decryptor 3.x 다운로드

 

→ 안랩에서​ 공개한 CryptXXX3.0 계열 복호화 프로그램 다운로드


2. CryptXXX_Decryptor_3.x.exe 실행


→ 검사 버튼을 클릭하여 선택된 드라이브 내에 암호화된 파일들을 스캔합니다. ... 버튼 클릭 시 저장소를 선

   택할 수 있습니다.

 


→ 검사 진행중 암호화된 파일이 검출되어 보여집니다.



→ 검사 완료 후 전체치료 버튼을 클릭합니다.

 


→ 전체치료 버튼 클릭 시 복원 진행 전 해당 메시지창이 나오게 됩니다. 확인 버튼을 눌러 계속 진행합니다.

 

 

→ 검사 진행 후 검출된 암호화 파일에 대해 부분 복구를 진행합니다.

 


→ 부분 복구가 진행된 파일은 상태명에 완료라고 명시되어집니다.