crypt 복구방법/crypt랜섬복구

crypt 랜섬웨어에 관련되어 카스퍼스키가 복구툴을 공개하였습니다.

실제 crypt걸린 몇몇파일들을 추출하여 복구 실행하였을때 약20% 파일들이

복구에 성공하였습니다.

 

글로벌 보안 업체인 카스퍼스키 랩(Kaspersky Lab)에서 CryptXXX 랜섬웨어를 복호화 하는 프로그램를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

본 과정은 CryptXXX(.crypt)만 적용되며, 이외에 다른 랜섬웨어는 적용되지 않습니다.
암호화된 파일과 원본파일을 통해 키를 추출하여 복호화하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다. 
본 과정은 카스퍼스키 랩에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.  

(출처: http://support.kaspersky.com/viruses/utility)

 

 

​ 복호화 진행절차

 

 

 1. 바탕화면에 decrypt 폴더 생성

2. RannohDecryptor 다운로드

→ http://support.kaspersky.com/viruses/utility​ 접속 후 RannohDecryptor Version 1.9.0.0 EXE 파일 다운로드

 

→ 사용자 라이센스 동의창이 뜨며, 프로그램은 영구적으로 제공하지만 해당 프로그램에 대한 기술지원과 책임은 

지지 않겠다라는 내용과 프로그램 수정 및 분석 등으로 권리를 침해하면 안된다라는 내용이 명시되어 있습니다.

 

→ 사용자 라이센스 동의 내용에 동의할 경우 I accept the terms in End User Agreements(사용자 라이센스 동의) 

항목에 체크 후 활성화된 Download 클릭

 

→ 다운 받은 rannohdecryptor.exe 파일을 저장하여 바탕화면 decrypt 폴더로 이동

 

3. 복호화 시 필요한 원본/감염 파일 가져오기​

→ crypt로 확장자가 변조된 파일과 같은 원본 파일을 decrypt 폴더로 이동

※ 확장자가 같더라도 변조된 파일과 원본이 같은 파일이어야 프로그램이 실행되기 때문에 변조된 파일의 원본이

  없다면 사진 샘플 폴더(C:UsersPublicPicturesSample Pictures)​의 jpg 파일들을 이용하여 복호화가 가능합니다. 

※ 테스트 결과, 복구 시 사용된 원본파일 용량 이상의 파일은 해독이 불가능합니다. Sample music 폴더에 있는 mp3 파일 

이용 시 사진보다 더 높은용량의 파일 복구가 가능합니다. 또한 사용자 본인이 백업해놓은 더 큰 용량의 원본파일이 있다면 

해당 파일로 진행하시면 더 성공적인 복원을 하실 수 있습니다.​

4. 복호화 프로그램(decrypt_nemucod.exe) 실행 

→ Start scan 버튼을 클릭하여 감염파일 복원을 진행합니다.

※ ​해당 프로그램으로 정상적인 복원이 되지 않을 수도 있으며, 정상적인 작동 여부를 확인하기 위해 일부 파일로 

먼저 진행해보는게 좋다고 메시지창 하단에 명시되어 있습니다. 꼭 일부 파일의 복사본으로 진행하시거나 백업본을 

만드신 후 진행하시기 바랍니다.

  - change parameters : 복원진행 시 옵션을 선택합니다.

→ change parameters 클릭 시 Settings 창이 뜨며, 옵션을 선택할 수 있습니다.

  - Objects to scan : 복원할 파일 스캔 시 하드디스크, 이동식디스크, 네트워크 드라이브 중 체크된

    항목에 대해서만 진행합니다.

  - Additional options : 항목에 체크 시 복원 후 감염된 crypt 파일을 삭제합니다.

 

→ Start scan​ 버튼 클릭 시 파일 선택창이 나옵니다. 감염된 crypt 파일을 선택합니다.

 

→ 성공적인 복원을 위해 crypt 파일의 원본 파일을 지정해야 한다고 명시되어 있습니다. Continue 버튼을 클릭

하여 계속 진행합니다.

 

→ 원본 파일을 선택합니다.​

 

→ 복원이 진행되며 Object 에서 현재 Decrypted되는 파일 경로를 보여줍니다.

 

​→ 복원이 완료되면 Scan completed로 메시지가 바뀌며, 암호화된 파일개수와 복원된 파일개수가

명시됩니다.(해당 프로그램은 지정한 원본파일 용량 이상의 파일은 복구되지 않습니다.)

 - Report : 복원 로그를 보여줍니다.

 - details : 복원이 진행된 파일들의 경로와 결과를 보여줍니다.

→ Report 클릭 시 화면​

 

 

→ details 클릭 시 화면​

 

 

이방법으로해도 안되신다면 신종유형입니다.

보통 비트코인을 입금하고 진행하는것이 가장 빠르며

 

비트코인 구매관련해서 업체를 대행하게되면 수수료가 20~30만원선이 넘습니다.

 

필자의경우 수수료 5만원 정도로 진행해드리니 도움이 필요하시면 연락주시기 바랍니다.

 

긴급연락처 : 010-9911-1008