일부 랜섬웨어에 감염되었을 경우 복구가 가능한 방법이 공개되어 소개드립니다.
카스퍼스키랩과 네덜란드 검찰이 CoinVault와 Bitcryptor 랜섬웨어가 사용한 C&C 서버에서 암호화 키의 마지막 세트를 습득하여 공개했습니다.
CoinVault는 2014년 11월 처음 탐지 되었고, 이는 108개국에 1,500명 이상의 희생양을 만든 랜섬웨어입니다.
2015년 4월, 네덜란드 경찰은 복호화 키 데이터베이스를 압수한 CoinVault의 C&C 서버에서 얻어내는데 성공했으며, 이 때 발견한 복호화 키를 이용하여 랜섬웨어 복호화 서비스를 만들었습니다.
이 랜섬웨어 복호화 서비스는 네덜란드에 위치한 CoinVault 서버에서 복구한 750개의 복호화 키를 포함하고 있었는데, 2015년 9월 네덜란드 당국은 CoinVault와 Bitcryptor 랜섬웨어 제작과 관련 된 두 명의 남자를 체포했으며, 추가로 14,031개의 복호화 키를 수집하는데 성공했습니다. 참고로, Bitcryptor 랜섬웨어의 경우, 기존 CoinVault 랜섬웨어 제작자들이 기존 CoinVault 랜섬웨어를 기반으로 새로 이름을 붙인 랜섬웨어입니다.
이 키들은 카스퍼스키의 랜섬웨어 복호화 서비스 및 https://noransom.kaspersky.com/ 에도 공개 되어 있으며, 이 랜섬웨어로 인해 PC가 감염 되었거나, 아직까지 암호화 된 파일을 가지고 있을 경우에 이 키를 다운받아 파일을 복호화 할 수 있게 되었습니다.
CoinVault와 Bitcryptor 랜섬웨어를 복호화 하는 법은 아래와 같습니다.
1. 멀웨어가 표시한 비트코인 지갑 주소를 적어둡니다.
2. 랜섬웨어 인터페이스로부터 암호화 된 파일 리스트를 얻습니다.
3. 안티바이러스 제품을 사용하여 CoinVault 랜섬웨어를 제거합니다.
4. https://noransom.kaspersky.com/ 사이트에 접속하여 복호화 툴을 다운로드 합니다.
5. 추가 라이브러리를 설치 후, 암호화된 파일을 복호화합니다.
CoinVault나 Bitcryptor 랜섬웨어에 감염된 경우라면 위의 방법으로 복호화가 가능하지만, CryptoWall이나 Crypt0L0cker와 같은 랜섬웨어에 감염되었을 경우 위의 방법으로 해결할 수 없음을 참고 부탁드립니다.
랜섬웨어의 공격에 대비하여, 항상 중요자료는 백업을 해두시고 사용중인 OS나 SW의 보안패치는 최신으로 유지해 주시기 바랍니다.
참고 :
http://thehackernews.com/2015/10/ransomware-decryption-tool.html
