랜섬웨어정보
홈 > 커뮤니티 > 랜섬웨어 복호화 툴
2016-04-12 16:24:13
글로벌 보안 업체인 엠시소프트(Emsisoft)에서 Crypted 랜섬웨어를 복호화 하는 프로그램를 공개하였습니다.
이에 랜섬웨어침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.
본 과정은 Crypted(.crypted)만 적용되며, 이외에 다른 랜섬웨어는 적용되지 않습니다.
암호화된 파일과 원본파일을 통해 키를 추출하여 복호화하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다.
본 과정은 엠시소프트(Emsisoft)가 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.
반드시 복사본으로 시도하시기 바랍니다.
(출처: https://decrypter.emsisoft.com/)
복호화 진행절차
1. 바탕화면에 decrypt 폴더 생성
2. Nemucod Decrypter 다운로드
→ https://www.emsisoft.com/en/ 접속 후 SUPPORT > Ransomware Decrypter 메뉴로 이동
→ Emsisotf Decrypter for Nemucod 글에서 DOWNLOAD 클릭
→ 다운 받은 decrypt_nemucod.exe 파일을 저장하여 바탕화면 decrypt 폴더로 이동
3. 복호화 시 필요한 원본/감염 파일 가져오기
→ crypted로 확장자가 변조된 파일과 같은 원본 파일을 decrypt 폴더로 이동
※ 확장자가 같더라도 변조된 파일과 원본이 같은 파일이어야 프로그램이 실행되기 때문에 변조된 파일의 원본이
없다면 사진 샘플 폴더(C:UsersPublicPicturesSample Pictures)의 jpg 파일들을 이용하여 복호화가 가능합니다.
4. 복호화 프로그램(decrypt_nemucod.exe) 실행
→ 원본/감염파일을 선택하여 decrypt_nemucod.exe 파일로 드래그합니다.
→ 선택된 파일을 통해 복호화키를 검출, 확인을 클릭하여 진행합니다.
※ 해당 복호화키가 맞지 않을 수 있으며, 정상적인 작동 여부를 확인하기 위해 일부 파일로 먼저 진행해보는게 좋다고 메시지창 하단에 명시되어 있습니다. 꼭 일부 파일의 복사본으로 진행하시기 바랍니다.
→ 라이센스 조건창이 뜨며, 어떠한 조건 없이 프로그램이 제공되지만 해당 프로그램과 관련하여 어떠한 경우에도 책임을 지지 않겠다라는 내용이 명시되어 있고 이에 동의할 것인지 묻고 있습니다. 진행하시려면 예를 클릭하여 계속 진행합니다.
5. 복호화 프로그램(decrypt_nemucod.exe) 기능
→ 우측 하단에 Decrypt 버튼을 클릭하여 복호화를 시작
- Decrypter : PC에 연결된 드라이브 목록이 보여지며, 해당 드라이브에서 감염된 파일을 복호화합니다.
- Add file(s) : PC 내 암호화된 파일을 추가시킬 수 있습니다.
- Remove file(s) : 복원할 드라이브 및 파일을 복원대상에서 제거합니다.
- Clear files : 복원된 파일 로그를 삭제합니다.
→ Decrypt 버튼을 클릭하여 복호화가 시작되면 Results에서 복원중인 파일 로그를 보여주며, 복원이 끝나면 Finished! 메세지로 알려줍니다.
- Options : Keep encrypted files 옵션을 체크해제하면 암호화된 파일을 복원 후 삭제합니다.
- Save log : 파일로그를 텍스트파일로 원하는 위치에 저장합니다.
- Copy log to clipboard : 파일로그를 복사합니다.
- abort : 파일 복원 작업을 중단합니다.