IT & Security/etc. (악성코드,취약점)

안랩에서 Magniber 랜섬웨어 복구 도구 발표

la Nube 2018. 4. 3. 13:33
반응형


(이미지 출처 : https://sensorstechforum.com/magniber-ransomware-south-korea/ )


Update: 2018년 6월 이후에 배포되어 감염되는 매그니베르 랜섬웨어는 해당되지 않습니다.

          이 내용은 2018년 5월 이전에 감염된 경우에만 유효합니다.


Magniber, MyRansom, MyDecryptor 등 여러 이름으로 불리는 랜섬웨어가 있습니다.

한글 이름으로는 매그니베르, 매그니버, 마이랜섬, 마이디크립터 등으로 불립니다.

이 랜섬웨어는 국내 사용자들을 대상으로 하여 많은 피해를 입히고 있습니다.

게다가 매일 새로운 변형이 나오고 있어 복구에 더 많은 시간이 걸릴 것으로 예상되었지요.


그러나, 이 랜섬웨어에 취약점이 있다는 정보가 약 5개월 전에 공개되었습니다.

☞ 확장자 별 복원 가능한 Magniber 랜섬웨어 : http://asec.ahnlab.com/1123


이를 바탕으로 4월 2일에 V3 제품을 개발하는 안랩(AhnLab)에서 확장자 별로 복원이 가능한 Magniber 랜섬웨어에 대한 복구 도구를 발표하였습니다.

☞ Magniber 랜섬웨어 복구툴 (확장자 별 키 정보) : http://asec.ahnlab.com/1124


특히, README.txt 라는 이름의 랜섬노트를 사용하는 Magniber 랜섬웨어 중 일부에서 이번에 안랩에서 발표한 복구 도구를 이용하여 랜섬웨어에 감염된 파일들을 복구할 수 있게 되었습니다.


안랩에 의하면 이번 복구 도구를 사용하기 위해서는 다음과 같은 3가지 인자 값이 필요하다고 합니다.

괄호 안의 알파벳과 숫자는 예시입니다.

 - 첫 번째 인자 값 : 확장자 ( prueitfik )

 - 두 번째 인자 값 : 키 ( EV8n879gAC6080r6 )

 - 세 번째 인자 값 : 벡터 ( Z123yA89q3m063V9 )


--


안랩에서 발표한 복구 도구를 이용하여 Magniber 랜섬웨어에 감염된 파일을 복구하기 위해서는 다음과 같은 절차대로 해야 합니다. 자세한 사항은 아래 안랩 블로그를 참고하세요.

Magniber 랜섬웨어 복구툴 (확장자 별 키 정보) : http://asec.ahnlab.com/1124


먼저, 안랩 블로그에 올려져 있는 MagniberDecryptV1.exe 파일을 다운로드하여 C드라이브로 복사합니다.

☞ Magniber 랜섬웨어 복구툴 (확장자 별 키 정보) : http://asec.ahnlab.com/1124

C드라이브 - Windows 폴더 - system32 폴더에 있는 cmd.exe 파일을 우클릭하여 관리자권한으로 실행합니다.


그리고 다음과 같은 명령어를 입력하면 됩니다.

아래는 예시입니다. 안랩 블로그에서 확장자, 키, 벡터를 찾아서 맞는 것으로 바꾸어야 합니다.

☞ Magniber 랜섬웨어 복구툴 (확장자 별 키 정보) : http://asec.ahnlab.com/1124

prueitfik, EV8n879gAC6080r6, Z123yA89q3m063V9 부분을 바꾸는 것입니다.

따라서 아래 명령어를 그대로 입력하지 마세요.

C:\MagniberDecryptV1.exe /d "C:\\" /e prueitfik /k EV8n879gAC6080r6 /v Z123yA89q3m063V9

엔터


대.소문자 구분하여 정확하게 입력해야 합니다.

다 치기가 어렵다면 메모장에 복사-붙여넣기 다음에 다시 그 부분만 정확하게 복사하세요.

그리고 cmd.exe 검은 바탕 흰 글씨 나오는 화면에서 우클릭 딱 1번만 하면 붙여넣기가 됩니다.


다 하고 나서, D드라이브도 있는 경우에 C: 를 D: 로 바꾸어 D드라이브에 대해서도 해줍니다.

C:\MagniberDecryptV1.exe /d "D:\\" /e prueitfik /k EV8n879gAC6080r6 /v Z123yA89q3m063V9

엔터


E, F, G, H 등등 드라이브가 있는 경우에는 위에서 D: 를 다른 알파벳으로 바꾸어서 역시 합니다.




명령어를 제대로 입력했음에도 위와 같이 '파일 목록 읽기 실패'가 나오는 경우는 해당 폴더에 복구할 대상, 즉 감염된 파일이 없다는 것을 의미합니다.


--


그 외 자세한 사항은 안랩 블로그나 네이버 카페 바이러스 제로 시즌 2를 이용해주세요^^

이 부분은 내용이 너무 방대하며, 상당한 전문성을 요하기 때문에 제 블로그에서는 답변을 드리기가 곤란합니다.

 - 안랩 블로그 : http://asec.ahnlab.com

 - 네이버 카페 바이러스 제로 시즌 2 : http://cafe.naver.com/malzero


--


<추가>


Magniber 랜섬웨어 복구툴 (확장자 별 키 정보) : http://asec.ahnlab.com/1124


[업데이트 - 2018.04.03]

모든 폴더를 대상으로 자동으로 진행하는 bat 파일 추가 업데이트

1. 암호화 확장자에 해당하는 탭의 다운로드 항목의 zip 파일을 다운로드

2. 압축 해제 후 bat 파일을 관리자 권한으로 실행


위와 같이 명령어가 아닌 좀 더 쉽게 사용할 수 있는 배치파일이 제공된다고 합니다.

아울러 MagniberDecryptV1.exe 파일도 MagniberDecryptV2.exe 로 업데이트되었습니다.


--


<추가>


안랩 블로그의 복구 가능 확장자 목록에는 없지만, 복구 가능한 확장자


확장자 : gcwssbfuw

키 : B4484pQ2w3y6Icq6

벡터 : X0x117b1Um535FD8


확장자 : jxrhgat

키 : CZH7Fy6Q537ycWX3

벡터 : R9Ltm45J2oVk7ciZ


확장자 : qgsxyzidg

키 : g5eIdGlVqO9s1Naj

벡터 : Nu4996t2h6m7K3bx


-울지않는벌새 블로그의 벌새 님 제공


--


<추가>


Magniber 복구 가능 확장자 목록 : http://asec.ahnlab.com/1125


안랩 블로그에 위와 같은 게시글이 올라왔습니다.

복구 가능한 확장자가 추가적으로 공개되었으니 확인하시기 바랍니다.


--


<추가>


매그니베르(Magniber) 복호화 정보 : http://cafe.naver.com/malzero/150572


MZK(Malware Zero Kit)의 개발자이자, 네이버 카페 바이러스 제로 시즌 2의 카페 매니저 ViOLeT 님이 매그니베르 랜섬웨어에 추가적인 내용을 공개하였으니 확인하시기 바랍니다.


반응형