전국민 보안 업그레이드! 알약 블로그

주메뉴


포스팅 내용

CoinVault와 Bitcryptor 랜섬웨어에 감염되었을 경우 복구방법

CoinVault와 Bitcryptor 랜섬웨어에 감염되었을 경우 복구방법



일부 랜섬웨어에 감염되었을 경우 복구가 가능한 방법이 공개되어 소개드립니다.


카스퍼스키랩과 네덜란드 검찰이 CoinVault와 Bitcryptor 랜섬웨어가 사용한 C&C 서버에서 암호화 키의 마지막 세트를 습득하여 공개했습니다.


CoinVault는 2014년 11월 처음 탐지 되었고, 이는 108개국에 1,500명 이상의 희생양을 만든 랜섬웨어입니다.


2015년 4월, 네덜란드 경찰은 복호화 키 데이터베이스를 압수한 CoinVault의 C&C 서버에서 얻어내는데 성공했으며, 이 때 발견한 복호화 키를 이용하여 랜섬웨어 복호화 서비스를 만들었습니다.


이 랜섬웨어 복호화 서비스는 네덜란드에 위치한 CoinVault 서버에서 복구한 750개의 복호화 키를 포함하고 있었는데, 2015년 9월 네덜란드 당국은 CoinVault와 Bitcryptor 랜섬웨어 제작과 관련 된 두 명의 남자를 체포했으며, 추가로 14,031개의 복호화 키를 수집하는데 성공했습니다. 참고로, Bitcryptor 랜섬웨어의 경우, 기존 CoinVault 랜섬웨어 제작자들이 기존 CoinVault 랜섬웨어를 기반으로 새로 이름을 붙인 랜섬웨어입니다. 


이 키들은 카스퍼스키의 랜섬웨어 복호화 서비스 및 https://noransom.kaspersky.com/ 에도 공개 되어 있으며, 이 랜섬웨어로 인해 PC가 감염 되었거나, 아직까지 암호화 된 파일을 가지고 있을 경우에 이 키를 다운받아 파일을 복호화 할 수 있게 되었습니다.


CoinVault와 Bitcryptor 랜섬웨어를 복호화 하는 법은 아래와 같습니다.


1. 멀웨어가 표시한 비트코인 지갑 주소를 적어둡니다.

2. 랜섬웨어 인터페이스로부터 암호화 된 파일 리스트를 얻습니다.

3. 안티바이러스 제품을 사용하여 CoinVault 랜섬웨어를 제거합니다.

4. https://noransom.kaspersky.com/ 사이트에 접속하여 복호화 툴을 다운로드 합니다.

5. 추가 라이브러리를 설치 후, 암호화된 파일을 복호화합니다.


CoinVault나 Bitcryptor 랜섬웨어에 감염된 경우라면 위의 방법으로 복호화가 가능하지만, CryptoWall이나 Crypt0L0cker와 같은 랜섬웨어에 감염되었을 경우 위의 방법으로 해결할 수 없음을 참고 부탁드립니다.


랜섬웨어의 공격에 대비하여, 항상 중요자료는 백업을 해두시고 사용중인 OS나 SW의 보안패치는 최신으로 유지해 주시기 바랍니다.



참고 :

http://www.cio.com/article/2999820/all-coinvault-and-bitcryptor-ransomware-victims-can-now-recover-their-files-for-free.html

http://thehackernews.com/2015/10/ransomware-decryption-tool.html

저작자 표시
신고
Posted by 알약(Alyac)

댓글을 달아 주세요

  1. 2015.11.24 16:25  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • BlogIcon 알약(Alyac) 2015.11.26 15:16 신고  댓글주소  수정/삭제

      김혜진님, 안녕하세요. 질문하신 내용에 대해 답변드리겠습니다.
      1. 복구툴을 돌릴때, 안전모드에서 진행하지 않으셔도 상관없습니다.
      2. 어떤 백신프로그램을 돌려 악성코드를 치료하셨는지요? 만약 알약으로 악성코드를 치료한 후에도 미심쩍으시다면, 알약신고하기기능을 통해 저희쪽에 어떠한 증상때문에 치료가 정상적으로 이뤄진 것인지 의심된다는 내용을 작성해서 보내주시면 저희가 관련내용 확인하고 회신 드리겠습니다.

      좋은 하루 되세요!

    • 2015.11.26 16:07  댓글주소  수정/삭제

      비밀댓글입니다

    • BlogIcon 알약(Alyac) 2015.12.01 13:17 신고  댓글주소  수정/삭제

      김혜진님, 안녕하세요. 안전모드에서 실행해도 문제가 없을 것으로 확인됩니다. 감사합니다!

    • 2015.12.08 14:32  댓글주소  수정/삭제

      비밀댓글입니다

  2. 2015.11.30 16:42  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • BlogIcon 알약(Alyac) 2015.12.01 13:06 신고  댓글주소  수정/삭제

      안녕하세요. 양승모님. 실제로 BitCryptor나 CoinVault 랜섬웨어에 감염되었을때, 랜섬웨어가 띄우는 인터페이스에서 View Encrypted filelist버튼을 통해 암호화된 파일리스트를 얻으실 수 있습니다. 또한 랜섬웨어 인터페이스 하단에 비트코인주소도 표시되나 반드시 필요한 것은 아닌 것으로 알고 있습니다.

  3. 2016.03.22 01:24  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • BlogIcon 알약(Alyac) 2016.03.25 15:24 신고  댓글주소  수정/삭제

      박지현님 안녕하세요. n드라이브에 백업해 둔 파일들이 다른 파일들도 감염시킬 가능성은 없습니다. 또한 usb는 암호화만 되었기 때문에, 감염되지 않은 컴퓨터에 연결시켜도 연결시킨 컴퓨터가 랜섬웨어에 걸리지는 않습니다. 다만 이미 암호화가 된 파일들은 복구할 수 있는 방법이 없습니다.ㅠㅠ 도움을 드리지 못해 죄송합니다 ㅠㅠ

  4. 2016.05.20 20:13  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • BlogIcon 알약(Alyac) 2016.05.27 10:37 신고  댓글주소  수정/삭제

      안지훈님 안녕하세요. 랜섬웨어 창이 지속적으로 뜬다면 알약에서 파일이 암호화 되는 것은 차단했지만 랜섬웨어를 성공적으로 삭제하지 못한 것으로 추측됩니다. 알약DB가 업데이트 될 때까지 기다리신 후에 다시 정밀검사를 해보시거나 help@alyac.co.kr로 메일을 보내주시면 저희가 도움을 드리겠습니다. 감사합니다^^

  5. 2016.07.29 18:22  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • BlogIcon 알약(Alyac) 2016.08.02 09:45 신고  댓글주소  수정/삭제

      안녕하세요. 알약입니다. 알약을 최신 DB로 업데이트하신 후 검사를 진행해보시길 부탁 드립니다. ^^ 더불어 암호화된 파일은 향후 복구툴이 개발될 수 있으니 중요한 파일인 경우 따로 보관해두시길 권장 드립니다. 또한 앞으로 랜섬웨어 감염을 예방할 수 있도록 최신 SW를 업데이트하시고, 중요한 파일은 따로 백업을 해두시는 등 조치를 취해주시기 바랍니다. 감사합니다.

티스토리 방명록 작성