꿈을꾸는 파랑새

오늘은 최근에 활기를 치고 있는 갠드크랩 랜섬웨어에 대한 새로운 복구도구가 공개되었습니다. 일단 이번 갠드크랩 랜섬웨어 복구 도구를 만든 것은 루마니아 보안 업체인 BitDefender에서 제공을 하고 있습니다. 이번에는 작년 BitDefender 보안 업체에서 제공된 GandCrab 랜섬웨어에 의해 암호화된 파일 중 v1, v4, v5 버전에 대한 무료 복구툴을 공개되었고 GandCrab 랜섬웨어는 버전 업데이트를 통해 v5.0.4 버전으로 복구되지 않도록 수정이 이루어졌었습니다.

이에 대응해서 BitDefender 보안 업체에서는 최근 유포가 진행되고 있는 v5.1 버전까지 복구할 수 있는 새로운 GandCrab 랜섬웨어 무료 복구툴을 공개를 했습니다. 일단 사용방법은 간단합니다. 먼저 해당 사이트로 이동합니다.

그리고 나서 해당 프로그램을 내려받기해서 실행합니다. 그리고 나면 라이센스 동의를 해달라고 하는데 그냥 여기서는 네~동의합니다. 라고 하면 됩니다. 그러면 메인 화면이 나오는 것을 볼 수가 있습니다. 최근 한국에서 이루어지는 https 검열 부분을 악용해서 DNS/IP 우회 프로그램 검색을 통해서 js파일을 통해서 악성코드가 유포되고 있습니다. 물론 해당 부분은 구글검색에서 나옵니다. 그리고 보안에 관심이 있으신 분들은 다 아시는 네봄이 입니다.

BitDefender Decryption Utility for GandCrab v1,v4,v5

구글 검색을 통해서 js파일을 통해서 악성코드가 유포되고 있습니다. 물론 해당 부분은 구글검색에서 나옵니다. 그리고 보안에 관심이 있으신 분들은 다 아시는 네봄이 입니다.

즉 GandCrab 랜섬웨어에 감염될 수 있는 유포 방식은. js 스크립트 파일 다운로드를 통한 실행 또는 이메일을 통해 이력서, 신분증, 명예 훼손 등과 관련된 MS 워드 문서 파일로 위장한 이중 파일 확장 명을 사용하는 실행 파일을 통해 감염이 이루어지고 있습니다.

일단 개인적으로 DNS/IP 우회 프로그램 검색을 통해서 유포되는 js 파일을 실행했다가 감염이 된 파일을 확인을 해보았습니다. 먼저 해당 파일이 암호화가 해체되는지 먼저 저번에 가르쳐준 사이트에 한번 검색을 해보았습니다. 보시면 된다는 것을 확인할 수가 있습니다.

앞서 이야기한 것처럼 다운로드한 파일을 실행(관리자 권한으로 실행)한 후 I agree with the terms of use 박스에 체크를 하시고 CONTINUE (계속) 버튼을 클릭하시면 됩니다.

그리고 나서 This utility decrypts files encrypted by the GandCrab V1,V4,V5 ransomware. This tool requires internet access! 메시지 창이 뜨며 해당 복구툴을 이용하려면 반드시 인터넷이 연결된 상태에서 사용이 가능 하도 이야기하고 있습니다.

즉 인터넷 연결이 돼 있어야 합니다. 그리고 나서 Scan entire system (전체 시스템 검사)와 Backup files (백업 파일 생성) 옵션이 있는데, 원활한 진행을 위해서는 해당 박스에 모두 체크를 하시고 START TOOL (복구툴 시작)버튼을 눌러주면 됩니다.

여기서 GandCrab 랜섬웨어 복구툴을 이용하여 암호화된 파일을 복구하려면 반드시 인터넷에 연결된 상태와 함께 GandCrab 랜섬웨어에 의해 생성되었던 <암호화 확장명>-DECRYPT.txt 메시지 파일이 1개는 존재해야 한다는 것입니다.

이유는 파일 복구를 위한 GandCrab Key 및 PC Data 정보가 포함되어 있으며 해당 정보를 알 수 없는 경우 파일 복구가 되지 않습니다. 그리고 복구를 진행하면 됩니다. 그리고 나면 복구된 파일을 확인할 수가 있습니다. 일단은 해당 랜섬웨어에 감염이 된 사용자 분들은 한번 도전을 해보시는 것도 좋을 것 같습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band