본문바로가기

홈 > 커뮤니티 > 랜섬웨어 복호화 툴

랜섬웨어 복호화 툴

CryptXXX(.crypt) 복호화 방법

2016-04-29 10:46:08

       

※ CryptXXX 랜섬웨어가 CryptXXX2.0으로 업데이트되면서 해당 복호화방법으로는 정상적인 복원이 이뤄지지 않고 있습니다. 복호화 방법 게시판에 CryptXXX2.0 복호화 방법으로 진행해보시기 바랍니다.

 

글로벌 보안 업체인 카스퍼스키 랩(Kaspersky Lab)에서 CryptXXX 랜섬웨어를 복호화 하는 프로그램를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.


본 과정은 CryptXXX(.crypt)만 적용되며, 이외에 다른 랜섬웨어는 적용되지 않습니다.
암호화된 파일과 원본파일을 통해 키를 추출하여 복호화하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다. 
본 과정은 카스퍼스키 랩에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.


반드시 복사본으로 시도하시기 바랍니다.  

(출처: http://support.kaspersky.com/viruses/utility)

 

 

​ 복호화 진행절차

 

 

 1. 바탕화면에 decrypt 폴더 생성


2. RannohDecryptor 다운로드


→ http://support.kaspersky.com/viruses/utility 접속 후 RannohDecryptor Version 1.9.0.0 EXE 파일 다운로드

 


→ 사용자 라이센스 동의창이 뜨며, 프로그램은 영구적으로 제공하지만 해당 프로그램에 대한 기술지원과 책임은 

지지 않겠다라는 내용과 프로그램 수정 및 분석 등으로 권리를 침해하면 안된다라는 내용이 명시되어 있습니다.

 


→ 사용자 라이센스 동의 내용에 동의할 경우 I accept the terms in End User Agreements(사용자 라이센스 동의) 

항목에 체크 후 활성화된 Download 클릭

 


→ 다운 받은 rannohdecryptor.exe 파일을 저장하여 바탕화면 decrypt 폴더로 이동

 

3. 복호화 시 필요한 원본/감염 파일 가져오기


→ crypt로 확장자가 변조된 파일과 같은 원본 파일을 decrypt 폴더로 이동

※ 확장자가 같더라도 변조된 파일과 원본이 같은 파일이어야 프로그램이 실행되기 때문에 변조된 파일의 원본이

  없다면 사진 샘플 폴더(C:Users/Public/Pictures/Sample Pictures)의 jpg 파일 또는 음악 샘플 폴더(C:/Users/

  Public/Music/Sample Music)의 mp3 파일을 이용하여 복호화가 가능합니다. 

  테스트 결과, 복구 시 사용된 원본파일 용량 이상의 파일은 해독이 불가하므로 샘플 폴더 파일보다 용량이 큰

  원본파일을 가지고 있다면 해당 파일로 진행하시면 더 성공적인 복원을 하실 수 있습니다.

※ 현재 CryptXXX 랜섬웨어의 업데이트로 인하여 공용폴더들은 감염되지 않고 있습니다. 그러므로 복구를 진행 

  하실 때에는 메일에 첨부한 파일 또는 백업본 등 원본파일을 가지고 계신 경우에만 복구 진행이 가능합니다.(2016.05.09)


4. 복호화 프로그램(rannohdecryptor.exe​) 실행 


→ Start scan 버튼을 클릭하여 감염파일 복원을 진행합니다.

※ ​해당 프로그램으로 정상적인 복원이 되지 않을 수도 있으며, 정상적인 작동 여부를 확인하기 위해 일부 파일로 

먼저 진행해보는게 좋다고 메시지창 하단에 명시되어 있습니다. 꼭 일부 파일의 복사본으로 진행하시거나 백업본을 

만드신 후 진행하시기 바랍니다.

  - change parameters : 복원진행 시 옵션을 선택합니다.


→ change parameters 클릭 시 Settings 창이 뜨며, 옵션을 선택할 수 있습니다.

  - Objects to scan : 복원할 파일 스캔 시 하드디스크, 이동식디스크, 네트워크 드라이브 중 체크된

    항목에 대해서만 진행합니다.

  - Additional options : 항목에 체크 시 복원 후 감염된 crypt 파일을 삭제합니다.

 


→ Start scan​ 버튼 클릭 시 파일 선택창이 나옵니다. 감염된 crypt 파일을 선택합니다.

 


→ 성공적인 복원을 위해 crypt 파일의 원본 파일을 지정해야 한다고 명시되어 있습니다. Continue 버튼을 클릭

하여 계속 진행합니다.

 


→ 원본 파일을 선택합니다.

 


→ 복원이 진행되며 Object 에서 현재 Decrypted되는 파일 경로를 보여줍니다.

 


→ 복원이 완료되면 Scan completed로 메시지가 바뀌며, 암호화된 파일개수와 복원된 파일개수가

명시됩니다.(해당 프로그램은 지정한 원본파일 용량 이상의 파일은 복구되지 않습니다.)

 - Report : 복원 로그를 보여줍니다.

 - details : 복원이 진행된 파일들의 경로와 결과를 보여줍니다.



→ Report 클릭 시 화면

 

 


→ details 클릭 시 화면