CryptoMix 랜섬웨어 증상과 암호화 파일 복구 방법

꿈을꾸는 파랑새

먼저 이런 종류의 악성코드에 감염되지 않으려면 반드시 자신이 사용하는 Windows Update, Adobe Flash Player, 브라우저 등은 반드시 최신 업데이트를 통해서 취약점을 없애는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.오늘은 CryptoMix 랜섬웨어(CryptoMix Ransomware)증상과 암호화 파일 복구 방법에 대해 알에 보겠습니다.일단 CryptoMix 랜섬웨어(CryptoMix Ransomware)이라는것은 2016년3월부터 유포가 되고 있으며 지금은 CryptFile2 Ransomware,Zeta Ransomware 변종이 있으며 CryptoShield Ransomware이 유포가 되고 있습니다.

CryptoMix 랜섬웨어(CryptoMix Ransomware)는 사용자에게 속임수로 액세스 권한을 획득합니다. 그리고 해당 CryptoMix 랜섬웨어(CryptoMix Ransomware)에 감염이 되면 기본적으로 RSA-2048 알고리즘을 통해서 파일들을 암호화를 진행됩니다. 그리고 나서 랜섬웨어는 다음의 메시지를 출력합니다.

What happened to you files?
All of your files were encrypted by a strong encryption with RSA-2048 using CryptoShield 1.0
More information about the encryption keys using RSA-2048 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
Specially for your PC was generated personal RSA-2048 KEY, both public and private.
ALL your FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start send email now for more specific instructions, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
To receive your private software:
Contact us by email , send us an email your ID number and wait for further instructions.
Our specialist will contact you within 24 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form.
This will be your guarantee.
그리고 여기서 CryptoShield Ransomware 일 경우에는 다음과 같은 메일 주소가 보이는 것을 확인할 수가 있습니다.
CONTACTS E-MAILS:
restoring_sup@india.com - SUPPORT;
restoring_sup@computer4u.com - SUPPORT RESERVE FIRST;
restoring_reserve@india.com - SUPPORT RESERVE SECOND;

일단 CryptoShield Ransomware,CryptoMix 랜섬웨어(CryptoMix Ransomware)과 비슷한 메일을 볼수가 있으며 다만 이메일 주소가 다르다는 점만 빼고 거의 비슷한 메시지를 볼 수가 있습니다. 그리고 CryptoMix 랜섬웨어(CryptoMix Ransomware)가 암호화 대상은 다음과 같습니다.

.ACCDB, .MDB, .MDF, .DBF, .VPD, .SDF, .SQLITEDB, .SQLITE3, .SQLITE, .SQL, .SDB, .DOC, .DOCX, .ODT, .XLS, .XLSX, .ODS, .PPT, .PPTX, .ODP, .PST, .DBX, .WAB, .TBK, .PPS, .PPSX, .PDF, .JPG, .TIF, .PUB, .ONE, .RTF, .CSV, .DOCM, .XLSM, .PPTM, .PPSM, .XLSB, .DOT, .DOTX, .DOTM, .XLT, .XLTX, .XLTM, .POT, .POTX, .POTM, .XPS, .WPS, .XLA, .XLAM, .ERBSQL, .SQLITE-SHM, .SQLITE-WAL, .LITESQL, .NDF, .OST, .PAB, .OAB, .CONTACT, .JNT, .MAPIMAIL, .MSG, .PRF, .RAR, .TXT, .XML, .ZIP, .1CD, .3DS, .3G2, .3GP, .7Z, .7ZIP, .AOI, .ASF, .ASP, .ASPX, .ASX, .AVI, .BAK, .CER, .CFG, .CLASS, .CONFIG, .CSS, .DDS, .DWG, .DXF, .FLF, .FLV, .HTML, .IDX, .JS, .KEY, .KWM, .LACCDB, .LDF, .LIT, .M3U, .MBX, .MD, .MID, .MLB, .MOV, .MP3, .MP4, .MPG, .OBJ, .PAGES, .PHP, .PSD, .PWM, .RM, .SAFE, .SAV, .SAVE, .SRT, .SWF, .THM, .VOB, .WAV, .WMA, .WMV, .3DM, .AAC, .AI, .ARW, .C, .CDR, .CLS, .CPI, .CPP, .CS, .DB3, .DRW, .DXB, .EPS, .FLA, .FLAC, .FXG, .JAVA, .M, .M4V, .MAX, .PCD, .PCT, .PL, .PPAM, .PS, .PSPIMAGE, .R3D, .RW2, .SLDM, .SLDX, .SVG, .TGA, .XLM, .XLR, .XLW, .ACT, .ADP, .AL, .BKP, .BLEND, .CDF, .CDX, .CGM, .CR2, .CRT, .DAC, .DCR, .DDD, .DESIGN, .DTD, .FDB, .FFF, .FPX, .H, .IIF, .INDD, .JPEG, .MOS, .ND, .NSD, .NSF, .NSG, .NSH, .ODC, .OIL, .PAS, .PAT, .PEF, .PFX, .PTX, .QBB, .QBM, .SAS7BDAT, .SAY, .ST4, .ST6, .STC, .SXC, .SXW, .TLG, .WAD, .XLK, .AIFF, .BIN, .BMP, .CMT, .DAT, .DIT, .EDB, .FLVV, .GIF, .GROUPS, .HDD, .HPP, .M2TS, .M4P, .MKV, .MPEG, .NVRAM, .OGG, .PDB, .PIF, .PNG, .QED, .QCOW, .QCOW2, .RVT, .ST7, .STM, .VBOX, .VDI, .VHD, .VHDX, .VMDK, .VMSD, .VMX, .VMXF, .3FR, .3PR, .AB4, .ACCDE, .ACCDR, .ACCDT, .ACH, .ACR, .ADB, .ADS, .AGDL, .AIT, .APJ, .ASM, .AWG, .BACK, .BACKUP, .BACKUPDB, .BANK, .BAY, .BDB, .BGT, .BIK, .BPW, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CE1, .CE2, .CIB, .CRAW, .CRW, .CSH, .CSL, .DB_JOURNAL, .DC2, .DCS, .DDOC, .DDRW, .DER, .DES, .DGC, .DJVU, .DNG, .DRF, .DXG, .EML, .ERF, .EXF, .FFD, .FH, .FHD, .GRAY, .GREY, .GRY, .HBK, .IBANK, .IBD, .IBZ, .IIQ, .INCPAS, .JPE, .KC2, .KDBX, .KDC, .KPDX, .LUA, .MDC, .MEF, .MFW, .MMW, .MNY, .MONEYWELL, .MRW, .MYD, .NDD, .NEF, .NK2, .NOP, .NRW, .NS2, .NS3, .NS4, .NWB, .NX2, .NXL, .NYF, .ODB, .ODF, .ODG, .ODM, .ORF, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .PDD, .MTS, .PLUS_MUHD, .PLC, .PSAFE3, .PY, .QBA, .QBR, .QBW, .QBX, .QBY, .RAF, .RAT, .RAW, .RDB, .RWL, .RWZ, .S3DB, .SD0, .SDA, .SR2, .SRF, .SRW, .ST5, .ST8, .STD, .STI, .STW, .STX, .SXD, .SXG, .SXI, .SXM, .TEX, .WALLET, .WB2, .WPD, .X11, .X3F, .XIS, .YCBCRA, .YUV, .MAB, .JSON, .MSF, .JAR, .CDB, .SRB, .ABD, .QTB, .CFN, .INFO, .INFO_, .FLB, .DEF, .ATB, .TBN, .TBB, .TLX, .PML, .PMO, .PNX, .PNC, .PMI, .PMM, .LCK, .PM!, .PMR, .USR, .PND, .PMJ, .PM, .LOCK, .SRS, .PBF, .OMG, .WMF, .SH, .WAR, .ASCX, .K2P, .APK, .ASSET, .BSA, .D3DBSP, .DAS, .FORGE, .IWI, .LBF, .LITEMOD, .LTX, .M4A, .RE4, .SLM, .TIFF, .UPK, .XXX, .MONEY, .CASH, .PRIVATE, .CRY, .VSD, .TAX, .GBR, .DGN, .STL, .GHO, .MA, .ACC, .DB

그리고 나서 레지스터리에 아래와 값들이 추가됩니다.

HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader UpdateSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Adobe Reader Update32
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AdobeFlashPlayerSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*AdobeFlashPlayers32
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeFirstVersionSoftWare
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeLicensionSoftWare
그리고 친절하게 몸값을 지급하며 수익금 일부는 사용자 즉 피해자 이름으로 어린이를 위한 자선단체에 기부한다는 것도 볼 수가 있습니다. 물론 어린이를 위한 자선 단체에서는 기부되지 않습니다. 굳이 기부를 해야 한다면 직접 자선단체를 통한 기부를 하는 것이 좋을것입니다. 비트 코인 값은 5 BTC(Bitcoin)입니다. 그리고 랜섬웨어 메시지에는 개인 확인 ID을 전송을 해주면 친절하게 12시간 이내에 복원화 도구를 안내를 받을 수가 있을 것입니다.
일단 기본적으로 작업 방법은 다음과 같습니다.
먼저 기본적으로 백신프로그램을 최신 업데이트 상태로 유지하고 인터넷 선을 뽑고 컴퓨터를 안전모드로 부팅을 합니다. Windows 7까지는 컴퓨터 부팅을 할 때 F8 버튼을 눌러 진입하면 되고 Windows 8, Windows 10부터는 Shift를 누른 상태에서 다시 시작을 클릭을 해주고 나서며 고급 시작 옵션을 시작할 수가 있습니다. 아니며 설정->업데이트 및 보안->복구로 이동하고 나서 고급 시작옵션으로 다시 시작을 합니다. 그리고 나서 고급 시작 옵션에서 문제 해결 버튼을 눌러주고 나서 고급 옵션을 눌러주고 나서 시작 설정을 눌러줍니다. 그리고 나서 다시 시작을 하고 나서 안전모드로 진입을 해주면 됩니다. 그리고 나서 백신프로그램으로 해당 CryptoMix 랜섬웨어(CryptoMix Ransomware)를 제거를 해줍니다.물론 한 번 더 Malwarebytes Anti Malware,Zemana AntiMalware을 이용해보는 것도 좋은 것 같습니다. 그리고 나서 해당 랜섬웨어가 제거가 되었으면 그리고 시스템 복원지점을 만들어 두었으면 지난 시간에 소개해 드린 ShadowExplorer를 이용을 해봅니다. 일단 여기서 CryptoMix 랜섬웨어(CryptoMix Ransomware)는 파일 암호화 시 C&C 서버와 통신을 통해서 암호화 키를 교환하는 방식이 있지만, 서버 통신 없이 파일 암호화가 진행되는 오프라인 방식으로 대부분일 것입니다.

[보안(Security)] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

그리고 만약 해당 방법으로 복 원화에 실패했을 때는 어베스트에서 제공하는 Avast Decryption for CryptoMix을 이용하는 방법도 있습니다. 일단 Avast Decryption for CryptoMix 복구툴을 실행을 한후 Select location(s) to decrypt 부분에서 해당 CryptoMix 피해를 받아서 암호화된 파일이 존재하는 드라이버 또는 폴더를 선택을 해주면 됩니다.

CryptoMix 복구툴

일단 CryptoMix 복구툴을 이용해서 복구할 수가 있을 것입니다. 앞서 이야기 했듯이 이런 종류의 악성코드에 감염되지 않으려면 반드시 자신이 사용하는 Windows Update, Adobe Flash Player, 브라우저 등은 반드시 최신 업데이트를 통해서 취약점을 없애는 것이 안전하게 컴퓨터를 사용하는 방법일 것입니다.


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://prolite.tistory.com IT세레스 2017.03.01 12:39 신고

    점점 암호화 파일 복구 방법이 나와서 다행입니다.^^

    • Favicon of https://wezard4u.tistory.com Sakai 2017.03.01 15:41 신고

      네~저도 그렇게 생각이 됩니다.아마도 해당 랜섬웨어 피해를 보신분들에게 조금이나마 도움이 될수 있을거라 생각이 듭니다.