카스퍼스키랩 - RannohDecryptor 랜섬웨어 복구 툴 (랜섬웨어침해대응센터)

글로벌 보안 업체인 카스퍼스키 랩(Kaspersky Lab)에서 RannohDecryptor 라는 랜섬웨어 복구 툴을 공개했다.

 

랜섬웨어침해대응센터에서는 해당 툴 사용 방법을 잘 설명해 주고 있다. 

해당 툴로 복구가 가능한 랜섬웨어 변형 파일을 가지고 있는 분들은 참고하시기 바란다.

아래는 암호화된 파일과 원본파일을 통해 키를 추출하여 복구하는 과정으로 랜섬웨어침해대응센터의 글을 퍼왔습니다.

출처 : 랜섬웨어침해대응센터(https://www.rancert.com/bbs/bbs.php?bbs_id=rest&mode=view&id=16)

 

랜섬웨어 종류	진단명	변환 확장자
Rannoh	Trojan-Ransom.Win32.Rannoh​	locked-<original_name>.<four_random_letters>.​
Cryakl	Trojan-Ransom.Win32.Cryakl​	{CRYPTENDBLACKDC}​
AutoIt	Trojan-Ransom.Win32.AutoIt​	<original_name>@<mail server>_.<random_set_of_characters>. ​
CryptXXX	Trojan-Ransom.Win32.CryptXXX	<original_name>.crypt,  <original_name>.crypz,  <original_name>.cryp1.

 

※ 복호화 진행절차 

반드시 복사본으로 시도하시기 바랍니다.  

(현재 게시글에서는 복원 후 감염파일을 삭제하지 않게 설정하였으므로, PC나 하드에 복호화 할 파일의 용량만큼 여유가 있는 상태에서 진행해주시기 바랍니다.)

(출처: http://support.kaspersky.com/viruses/utility )

 

 

→ RannohDecryptor 다운로드

→ http://support.kaspersky.com/viruses/utility​ 접속 후 RannohDecryptor Version 1.9.5.0 EXE 파일 다운로드

 

→ 사용자 라이센스 동의창이 뜨며, 프로그램은 영구적으로 제공하지만 해당 프로그램에 대한 기술지원과 책임은 지지 않겠다라는 내용과 프로그램 수정 및 분석 등으로 권리를 침해하면 안된다라는 내용이 명시되어 있습니다.

 

→ 사용자 라이센스 동의 내용에 동의할 경우 I accept the terms in End User Agreements(사용자 라이센스 동의) 항목에 체크 후 활성화된 Download 클릭

 

 

→ 다운 받은 rannohdecryptor.zip 파일을 저장하여 압축파일 해제

→ 복호화 프로그램(rannohdecryptor.exe) 실행 

 

 

→ change parameters 클릭 시 Settings 창이 뜨며, 옵션을 선택할 수 있습니다.

  - Objects to scan : 복원할 파일 스캔 시 하드디스크, 이동식디스크, 네트워크 드라이브 중 체크된 항목에 대해서만 진행합니다.

  - Additional options : 항목에 체크 시 복원 후 감염된 파일을 삭제합니다. (복원 실패의 우려가 있으니 가급적 해당 옵션은 해제하고 진행해주세요.)

 → Start scan 버튼을 클릭하여 감염파일 복원을 진행합니다.

 

→ Start scan​ 버튼 클릭 시 파일 선택창이 나옵니다. 감염된 파일을 선택합니다.

 

→ 해당 랜섬웨어 감염당시 모든 경로마다 생성된 랜섬노트(생성파일)​를 선택하라는 알림창 입니다.

 

→ 감염 당시 생성됐던 txt 혹은 html파일을 선택해줍니다.​

 

 

→ 복원이 진행되며 Object 에서 현재 Decrypted되는 파일 경로를 보여줍니다. ​

→ 복원이 완료되면 Scan completed로 메시지가 바뀌며, 암호화된 파일개수와 복원된 파일개수가명시됩니다.

 

 

 ​→ 감염 파일이 있던 경로에 복원파일이 생성되어 있고, 정상적으로 실행이 가능합니다.

출처 : 랜섬웨어침해대응센터(https://www.rancert.com/bbs/bbs.php?bbs_id=rest&mode=view&id=16)