본문바로가기

홈 > 커뮤니티 > 랜섬웨어 복호화 툴

랜섬웨어 복호화 툴

[카스퍼스키랩 - ShadeDecryptor] 랜섬웨어 복호화 방법

2017-04-19 15:14:05

       

글로벌 보안 업체인 카스퍼스키 랩(Kaspersky Lab)에서 Shade Decryptor 랜섬웨어 복호화 프로그램를 공개하였습니다. 

이에 랜섬웨어침해대응센터에서는 해당 복호화 프로그램으로 복원 가능한 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다. 


암호화된 파일과 원본파일을 통해 키를 추출하여 복호화하는 과정입니다.


테스트 환경

 OS

 Windows7 64bit 

 CPU

 intel-i5

 RAM

 2GB 

 

본 과정은 카스퍼스키 랩에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

 

* 복원 가능 랜섬웨어 및 확장자 *

 

 랜섬웨어 종류

진단명 

변환 확장자 

Shade

Trojan-Ransom.Win32.Shade

.xtbl

.ytbl

.breaking_bad

.heisenberg.

  

 

 

​ 복호화 진행절차

 

 

반드시 복사본으로 시도하시기 바랍니다.  

(현재 게시글에서는 복원 후 감염파일을 삭제하지 않게 설정하였으므로, PC나 하드에 복호화 할 파일의 용량만큼 여유가 있는 상태에서 진행해주시기 바랍니다.)

(출처: http://support.kaspersky.com/viruses/utility )

 

 



→ Shade Decryptor 다운로드


→ 
http://support.kaspersky.com/viruses/utility 접속 후 Shade Decryptor Version 1.1.0.2 EXE 파일 다운로드

 

→ 사용자 라이센스 동의창이 뜨며, 프로그램은 영구적으로 제공하지만 해당 프로그램에 대한 기술지원과 책임은 

지지 않겠다라는 내용과 프로그램 수정 및 분석 등으로 권리를 침해하면 안된다라는 내용이 명시되어 있습니다.


→ 사용자 라이센스 동의 내용에 동의할 경우 I accept the terms in End User Agreements(사용자 라이센스 동의) 

항목에 체크 후 활성화된 Download 클릭

​ 

→ 다운 받은 ShadeDecryptor.zip 파일을 저장하여 압축파일 해제 


→ 복호화 프로그램(
ShadeDecryptor.exe) 실행


→ 
change parameters 클릭 시 Settings 창이 뜨며, 옵션을 선택할 수 있습니다.

  - Objects to scan : 복원할 파일 스캔 시 하드디스크, 이동식디스크, 네트워크 드라이브 중 체크된

    항목에 대해서만 진행합니다.

  - Additional options : 항목에 체크 시 복원 후 감염된 파일을 삭제합니다. (복원 실패의 우려가 있으니 가급적 해당 옵션은 해제하고 진행해주세요.) 


→ Start scan 버튼을 클릭하여 감염파일 복원을 진행합니다.​


→ 감염
 파일 선택창이 나옵니다. 감염된 파일을 선택합니다.


→ 복호화를 위한 정보를 받아오기 위해 랜섬 노트를 필요로 합니다.

랜섬노트는 해커가 비용을 요구하기 위해 생성해 둔 파일을 말합니다.


 

→ 복원이 진행되며 Object 에서 현재 Decrypted되는 파일 경로를 보여줍니다.

 

→ 복원이 완료되면 Scan completed로 메시지가 바뀌며, 암호화된 파일개수와 복원된 파일개수가

명시됩니다.​​

 

  → 감염 파일이 있던 경로에 복원파일이 생성되어 있고, 정상적으로 실행이 가능합니다.