랜섬웨어 복호화 툴

트렌드 마이크로(TrendMicro)에서 각종 랜섬웨어에 감염된 데이터에 대해 복호화가 가능한 프로그램을 공개하였습니다.

이에 랜섬웨어 침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

본 과정은 아래 작성된 랜섬웨어만 적용되며, 이외에 다른 랜섬웨어에는 적용되지 않습니다.

복구 가능한 확장자(아래 표)가 아니거나 조건에 부합되지 않는 경우 복원되지 않으므로 진행 전 절차내용을 숙지하시기 바랍니다.

본 과정은 트렌드마이크로에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.

( 출처 및 복호화 프로그램 다운로드 : http://www.trendmicro.co.kr/kr/tools/crypto-ransomware-file-decryptor-tool/index.html )

​복호화 지원 랜섬웨어 종류 및 버전

* - CryptXXX V3 복호화를 시도할 경우, 모든 파일이 정상적으로 복호화 되지 않을 수 있습니다(일부 파일 복호화).​ 

** - TeslaCrypt V1과 V2 복호화는 제공되는 별도 툴인 TeslaCryptDecryptor 1.0.xxx MUI 를 사용해주세요.​

+++ CERBER V1 참고사항

케르베르는 암호 해독 과정에서 해당 pc의 첫 감염 파일을 요구할 수 있으므로 반드시 감염된 PC에서 진행해야 합니다. 

케르베르를 복호화 하는 메소드로 인해 진행 시간이 몇 시간이 걸릴 수 있습니다. (인텔 i5 dual core 기준 평균 4시간)

해당 랜섬웨어는 암호화 과정이 매우 복잡하기 때문에 복호화 성공 확률이 낮습니다.

다른 유사한 랜섬웨어처럼 파일이 부분적으로만 해독 될 수 있으며, 이후 추가적으로 복구가 필요할 수 있습니다.

복호화 진행절차 

1. RansomwareFileDecryptor 1.0.1639 MUI.exe​ 다운로드  

RansomwareFileDecryptor 1.0.1639 MUI.exe 다운로드

 → 트렌드마이크로에서​ 공개한 복호화 프로그램 다운로드

2. 랜섬웨어 감염파일 복사본 생성​

3. RansomwareFileDecryptor 1.0.1639 MUI.exe​ 실행​

→ 동의(Agree) 버튼을 클릭하여 프로그램을 실행합니다.

 → 선택(Select) 버튼을 클릭하여 복호화 하고자 하는 랜섬웨어 종류를 선택합니다.

→ 랜섬웨어 종류를 선택한 후 OK 버튼을 클릭하여 파일 스캔을 진행합니다.

  (어떤 랜섬웨어에 감염되었는지 모를 경우 "I don't know the ransomware name" 을 클릭하여 복호화하고자 하는 파일을 첨부합니다.)

→ 파일 그림의 버튼을 클릭하여 암호화된 파일을 불러옵니다.

​ ​ 

 → 암호화된 파일(복사본)을 선택한 후 열기 버튼을 클릭합니다.

​ ​

 → 첨부된 파일을 확인한 뒤 다음(Next) 버튼을 클릭합니다.

​ ​

 → 자동으로 랜섬웨어 종류가 등록됩니다.​ ​

 → 선택 & 복호화(Select & Decrypt) 버튼을 클릭하여 복호화 할 파일의 위치를 지정합니다.

 → 파일 혹은 파일 위치 선택 후 확인 버튼을 클릭합니다.

→ 선택한 파일 및 파일 위치를 스캔하여 암호화 된 파일들을 스캔합니다. 

  파일 크기에 따라 10분에서 30분정도 소요됩니다. ( 파일 크기가 클 경우 더 오래걸릴 수 있음.)

→ 스캔이 완료 (Scan Completed) 되며 Decrypted file이 자동으로 해당 파일에 생성됩니다.

완료(Done)을 클릭하여 작업을 마칠 수 있습니다.

→ 복호화 프로그램 실행 후 입니다. 암호화 된 파일이 복호화되어 암호화 된 파일과 같은 경로에 원본 파일이 생성되었습니다.