Magniber 랜섬웨어와 외형이 유사한 형태의 랜섬웨어로는 Hermes와 GandCrab 랜섬웨어가 있다. 즉, V3에서 "Trojan/Win32.Magniber"로 진단하는 파일 중에는 실제 Magniber가 아닌 유형이 존재할 수 있다. 각 랜섬웨어 별 랜섬노트를 통해 구분이 가능하다.
§ Hermes : DECRYPT_INFORMATION
§ GandCrab : CRAB-DECRYPT
§ Magniber : README
복구툴에서 복구가 가능한 형태는 README 이름의 랜섬노트를 갖는 Magniber 랜섬웨어이며, 아래와 같은 화면구성을 갖는다. 붉은색 표시부분의 값이 복구 시 사용되는 키 정보 중, 벡터값(IV)에 해당한다.
3월 30일 부터 현재까지 확인된 Magniber 랜섬웨어 확장자 별 키, 벡터 정보는 아래의 표와 같다. 이후 추가적으로 확인되는 확장자 별 키, 벡터 정보는 http://asec.ahnlab.com/1125 에서 확인 할 수 있다.
날짜 |
복구가능 확장자 |
키 |
벡터 | 다운로드 |
3/30 |
kympzmzw |
Jg5jU6J89CUf9C55 |
i9w97ywz50w59RQY | |
3/30 |
owxpzylj |
u4p819wh1464r6J9 |
mbfRHUlbKJJ7024P | |
3/30 |
prueitfik |
EV8n879gAC6080r6 |
Z123yA89q3m063V9 | |
3/31 | rwighmoz | BF16W5aDYzi751NB | B33hQK9E6Sc7P69B | |
3/31 | bnxzoucsx | E88SzQ33TRi0P9g6 | Bo3AIJyWc7iuOp91 | |
3/31 | tzdbkjry | n9p2n9Io32Br75pN | ir922Y7f83bb7G12 | |
4/1 | iuoqetgb | QEsN9KZXSp61P956 | lM174P1e6J24bZt1 | |
4/1 | pgvuuryti | KHp4217jeDx019Uk | A4pTQ6886b401JR5 | |
4/2 | zpnjelt | LyAAS6Ovr647GO65 | nS3A41k9pccn03J2 | |
4/2 | gnhnzhu | I0727788KuT5kAqL | sCnHApaa61l5U2R0 | |
4/3 | hssjfbd | u5f1d693LGkEgX07 | kV35Z1K3JB7z6P06 | |
4/3 | ldolfoxwu | i24720y16f10qJ21 | fX5U9Z6A2j8ZUvkO | |
4/3 | zskgavp | nuu9WO56Gc0N5hn7 | ASY0d6dlyrEH6385 | |
4/3 | gwinpyizt | dcQOje3dzW469125 | T5438Nl5VI62XxM8 |
표에 언급된 예제 중, 3월 30일자의 prueitfik 확장자를 갖는 파일에 대해 복구툴을 이용한 복구 방법은 다음과 같다. (* cmd.exe 를 관리자 권한으로 실행)
1) 단일 파일에 대해 복구할 경우
/f 옵션에 파일에 대한 경로를 지정한 후 "/e 확장자 /k 키 /v 벡터 값"을 입력한다.
2) 특정 드라이브(이동식 디스크 등) 혹은 폴더에 대해 전체 복구할 경우
3) "c:\" 부터 복구할 경우
특정 폴더 나 드라이브를 지정하지 않더라도, c:\ 경로 부터 탐색 한다. 이 때는 /f, /d 옵션을 주지 않아도 된다.
※ 암호화된 파일이 존재하는 특정 폴더에 대해서 "파일 목록 읽기 실패"할 경우에는 임의로 새 폴더를 생성하여 해당 폴더에 파일들을 저장하고 /d "새 폴더 경로" 옵션을 통해 복호화 하면된다.
복구가 완료될 경우 아래 그림처럼 ".prueitfik" 확장자가 제거된 상태로 같은 경로에 저장된다.
[업데이트 - 2018.04.03]
모든 폴더를 대상으로 자동으로 진행하는 bat 파일 추가 업데이트
1. 암호화 확장자에 해당하는 탭의 다운로드 항목의 zip 파일을 다운로드
2. 압축 해제 후 bat 파일을 관리자 권한으로 실행
[복구툴 다운로드]
-
md5: 74ebfd6f6d2aa015283880e548826054
-
md5: 8949e2d022ee8a7621102f3dfdd964ea
"안랩이 제공하는 전용 백신 및 랜섬웨어 복구툴은 사용자가 비영리 목적으로 다운로드하여 설치 및 이용할 수 있으나 영리적인 목적으로의 사용은 금지되어 있습니다.
만약 영리적인 목적의 이용 · 판매 · 재판매 행위가 확인될 시에는 법적 조치를 취할 수 있음을 밝혀둡니다."
※ 현재 매그니베르 랜섬웨어에 대한 복구툴 업데이트는 랜섬웨어 암호화 방식 변경 등을 이유로 더 이상 지원되지 않습니다.
'조치 가이드' 카테고리의 다른 글
[가이드] 새로운 Magniber 랜섬웨어 복구를 위한 사용자 작업 (3) | 2018.04.10 |
---|---|
Magniber 복구 가능 확장자 목록 (105) | 2018.04.03 |
CryptXXX 랜섬웨어 3.x 버전의 암호화 방식 (부분 복구툴) (0) | 2016.06.03 |
마이크로소프트 2014년 2월 보안 패치 배포 (0) | 2014.02.12 |
마이크로소프트 2014년 1월 보안 패치 배포 (0) | 2014.01.17 |
댓글