포스팅 내용

이스트시큐리티 소식

CryptXXX 2.x 복호화툴 공개!

안녕하세요 알약입니다. 

알약에서 CryptXXX 2.x 버전 복호화 툴을 개발하였습니다. 


CryptXXX 2.x버전은 dll형태로 유포되고 있으며, DLLMain이 구동되면서 추가적인 Export 함수가 실행되는 구조를 취하고 있습니다. 


사용자 PC를 감염시킨 후 시스템에 존제하는 드라이브 문자열을 얻어와 DriveType을 얻어오며, 이동식 드라이브, HDD, SSD, 네트워크 드라이브라면 암호화의 대상이 됩니다. 


랜섬웨어 제작자는 암호화 하고자 하는 파일의 크기가 13,631,488(0xD00000) 바이트를 넘을 경우 최대 13,631,488 바이트만 암호화 하고 나머지 부분은 암호화가 되지 않도록 해 두었습니다. 부분 암호화가 되더라도 파일의 구조가 손상되기 때문에 암호화가 된 것과 마찬가지이기 때문입니다. 


암호화 후에는 파일 확장자를 .crypt로 변경하며, 암호화된 파일의 수정날자를 임의로 조작합니다. 그 이유는 CryptXXX의 암호화 방식이 시스템의 시간값을 이용한 방식이기 때문에, 암호화가 된 시점의 시간 값을 읽을 수 있다면 복호화 툴이 쉽게 제작될 수 있기 때문입니다. 






복호화 툴 원리


CryptXXX v2는 각각의 파일을 암호화 할 때마다 시스템의 현재 시간을 Seed로 활용하여 키 테이블을 생성합니다. 그리고 생성된 키 테이블을 활용하여 XOR연산을 수행하면서 파일을 암호화 합니다. 아래는 각각의 파일이 암호화 될 때마다 수행되는 루틴의 일부를 나타낸 것입니다. 테이블을 생성하고 반복문을 돌면서 XOR연산을 수행하는 것을 확인할 수 있습니다. 



복호화 하는 입장에서는 최초의 Seed값만 알아낼 수 있다면 암호화 당시의 키 테이블이 재현 가능해지기 때문에 그것을 이용해서 다시 한번 더 XOR연산을 하면 원래의 데이터를 얻어낼 수 있습니다. 시간 값을 Seed로 활용하는데, 시간 값은 한정이 되어 있어 오랜 시간이 걸려도 결국 최초의 Seed값을 알아낼 수 있던 것입니다. 


▶ CryptXXX 2.x 복호화 툴 다운로드   [국문]  [영문]



CryptXXX 2.x와 CryptXXX 3.x 차이점


CryptXXX v2는 시간값을 가지고 암호화를 하기 때문에, 해당 시간값을 유추해 낸다면 복호화가 가능하였습니다. 이런 점 때문에 복호화 툴이 개발되자 해커는 Crypt 3.x 를 개발하였습니다. 


3.x는 2.x와 비교했을 때 암호화 방식에서 약간의 차이가 있습니다.


3.x는 파일을 암호화할때 2.x와 같이 파일의 모든 영역을 시간값을 이용하여 암호화 하는 것이 아니라, 일부 영역은 공개키를 이용해서 암호화 하고 일부영역은 시간값 기반으로 생성된 키테이블을 이용해서 암호화를 수행합니다. 여기서 시간값을 이용하는 부분은 복호화가 가능하지만 공개키를 기반으로 암호화가 진행된 부분은 복호화가 불가능하기 때문에 3.x는 근본적으로 복구라는것이 불가능하며, 텍스트 파일에 한해서 부분 복호화만 가능합니다. 텍스트 파일만 가능한 이유는 텍스트 파일은 시그니쳐가 존재하지 않고 사람이 읽을 수 있는 문자열 기반이기 때문에 시간값을 이용해서 복호화를 계속적으로 시도하면서 사람이 읽을 수 있는 범위의 텍스트가 등장하면 복호화가 된 것으로 볼 수 있습니다. 그러나 exe파일등의 시그니처가 존재하는 파일들은, 3.x 가 파일의 첫번째 부분을 공개키로 암호화 하기 때문에 복호화가 불가능하므로 그 시그니처를 유추할 수 없습니다. 따라서 공격자의 비밀키(개인키)를 획득하지 않는 이상 텍스트 파일 형식 이외의 파일들은 복호화가 불가능합니다.





저작자 표시
신고
  1. cevin 2016.08.17 09:32 신고  수정/삭제  댓글쓰기

    다운로드를 받았는데 사용법을 모르겠습니다.
    TeslaDecoder
    TeslaRefactor
    TeslaViewer

    어떻게 사용해야 하나요??

    • BlogIcon 알약(Alyac) 2016.08.17 10:42 신고  수정/삭제

      안녕하세요! TeslaDecoder 관련된 내용은 http://blog.alyac.co.kr/633에서 확인해주시기 바랍니다. 그 밖에 다른 파일은 구글 검색 등을 통해 관련 내용을 찾아보실 수 있습니다. 감사합니다. ^^

  2. song 2016.09.11 15:01 신고  수정/삭제  댓글쓰기

    c:\users\user\documents\cryptxxxdecrypter.exe

    응용 프로그램의 side-by-side 구성이 잘못되어 응용 프로그램을 시작하지 못했습니다. 자세한 내용은 응용 프로그램 이벤트 로그를 참조하거나 명령줄 sxstrace.ex 도구를 사용하십시오.

    라고 뜹니다. 어떻게 해결을 해야하는지 모르겠습니다.

    • BlogIcon 알약(Alyac) 2016.09.12 08:57 신고  수정/삭제

      안녕하세요. 알약입니다. 죄송하지만 말씀하신 내용만으로는 증상 구현이 어렵습니다. ㅠㅠ 관련 상세한 내용과 스샷 등을 알약 [신고하기] 또는 help@alyac.co.kr로 보내주시면, 확인 후 좀 더 상세한 안내를 드리도록 하겠습니다. 더불어 랜섬웨어 피해 예방을 위해 사용하시는 SW를 항상 최신 버전으로 유지해주시고, 중요한 파일은 백업해두시는 등의 조치를 취해주시길 부탁 드리겠습니다. 감사합니다.

  3. 새가난다 2016.11.14 12:26 신고  수정/삭제  댓글쓰기

    CryptXXX 3.0은 원본과 대조하는 방식으로도 복구가 불가능한가요?
    암호화된 파일과 원본파일로 암호화키를 얻을수는 없는거예요?

    • BlogIcon 알약(Alyac) 2016.11.14 13:37 신고  수정/삭제

      초기 Cryptxxx 3.0 랜섬웨어는 복호화 툴이 존재했습니다(참고 : http://blog.alyac.co.kr/639) 그러나 랜섬웨어 제작자들이 복호화 툴 로직을 우회하기 위해서 공개키를 사용해 파일 일부분을 암호화했습니다.
      공개키로 암호화가 되었다면 개인키로만 복호화가 가능하기 때문에, 공격자가 개인키를 공개하거나 공격자가 공개키를 저장해는 저장소가 누군가에 의해 공개되지 않는 이상 복호화 할 방법은 없습니다. ㅠㅠ 이 점 확인 부탁 드리겠습니다. 감사합니다.

  4. iyb 2017.02.06 09:54 신고  수정/삭제  댓글쓰기

    안녕하세요..
    랜섬웨어에 컴퓨터의 모든 문서 형식의 파일이 암호화 되어
    해결방법을 찾던 중 방문하게 되었습니다
    저는 파일의 유형이 A126으로 변형 되었는데
    어떤 복구툴을 사용하는게 좋을지 몰라서
    여쭤봅니다..

    • BlogIcon 알약(Alyac) 2017.02.06 13:00 신고  수정/삭제

      안녕하세요. 말씀하신 내용만으로는 저희가 상세한 정보를 확인하기 어려워 정확한 답변이 어렵습니다. ㅠㅠ 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 원격지원 등 확인 후 도움을 드리도록 하겠습니다.
      더불어 향후 랜섬웨어 감염 피해를 또다시 입지 않으시도록, 자주 사용하는 SW의 업데이트를 최신 버전으로 유지해주시기 바라며 중요한 파일은 백업해두시길 당부 드립니다. 감사합니다.

  5. geospace 2017.02.21 09:09 신고  수정/삭제  댓글쓰기

    복호화 툴로 검사 후 복구 가능한 파일이 있어, 이를 복구하려는데 프로그램의 작동이 중지됩니다. 위의 설명대로 관련 파일을 받아 설치를 해보아도 같은 증상입니다.

    • BlogIcon 알약(Alyac) 2017.02.21 13:52 신고  수정/삭제

      안녕하세요. 죄송하지만 말씀하신 내용만으로는 저희가 도움을 드리기 어렵습니다. ㅠㅠ 알약 [신고하기]를 통해 신고해주시면, 원격지원 등으로 확인 후 조치를 취해 드리겠습니다. 감사합니다.

  6. space0921 2017.03.08 11:36 신고  수정/삭제  댓글쓰기

    sage 랜섬웨어에 걸렸어요
    확장자가 sage 는 아직 불가능 한가요?

    • BlogIcon 알약(Alyac) 2017.03.08 13:39 신고  수정/삭제

      안녕하세요. 안타깝지만 sage 랜섬웨어 복호화툴은 아직 개발되지 않은 것으로 보입니다. ㅠㅠ 향후 복호화툴이 공개되는 경우, 이스트시큐리티 사이트 내 랜섬웨어 페이지(https://www.estsecurity.com/ransomware)를 통해 신속하게 업데이트하겠습니다.
      더불어 향후에도 같은 피해를 입지 않도록 중요한 파일은 꼭 백업해두시고, 자주 사용하시는 SW와 OS를 최신 버전으로 유지해주시길 부탁 드리겠습니다. 감사합니다.

  7. 강준식 2017.03.23 13:19 신고  수정/삭제  댓글쓰기

    랜섬웨어에 감염된거 같은데 ...
    확장자가 b37c라고 돼 있습니다
    치료 하려면 어찌 해야 할까여 ? 애기 사진이 참 많은데 에효 -_-

    • BlogIcon 알약(Alyac) 2017.03.23 14:56 신고  수정/삭제

      안녕하세요. 죄송하지만 말씀하신 내용만으로는 도움을 드리기가 어렵습니다. ㅠㅠ 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 원격지원 등으로 확인 후 좀 더 상세하게 안내 드리도록 하겠습니다.
      소중한 사진이 암호화되어 정말 안타깝습니다. ㅠㅠ 랜섬웨어에 대응하기 위해서는 예방이 정말 중요한데요. 이후에도 같은 피해를 입지 않으시도록, 중요한 파일은 반드시 백업해두시길 권해 드립니다. 또한 자주 사용하시는 SW와 OS를 항상 최신 버전으로 유지해주시길 당부 드립니다. 감사합니다.

  8. ㅠㅠ 2017.05.09 01:05 신고  수정/삭제  댓글쓰기

    파일 확장자가 b1bb라고 되어 있는데 해제파일이 있나요??ㅠㅠ;;

    • BlogIcon 알약(Alyac) 2017.05.10 09:29 신고  수정/삭제

      안녕하세요. 죄송하지만 말씀하신 내용만으로는 정확한 정보를 확인할 수 없어 답변을 드리기가 어렵습니다. ㅠㅠ 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 원격지원 등으로 확인 후 좀 더 상세하게 안내 드리겠습니다. 감사합니다.

  9. 마마무 2017.05.16 16:25 신고  수정/삭제  댓글쓰기

    확장자명이 9546인데 어떤툴을 써야되나요

    • BlogIcon 알약(Alyac) 2017.05.16 16:47 신고  수정/삭제

      안녕하세요. 죄송하지만 말씀하신 정보만으로는 정확한 정보를 확인할 수 없어 도움을 드리기가 어렵습니다. 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 원격지원 등으로 확인 후 좀 더 상세하게 안내 드리겠습니다. 감사합니다.

  10. 박찬용 2017.05.18 18:55 신고  수정/삭제  댓글쓰기

    확장자 encrypted로 되어 있는데 해결 가능한가요?

    • BlogIcon 알약(Alyac) 2017.06.09 09:09 신고  수정/삭제

      안녕하세요. 죄송하지만 말씀하신 정보만으로는 정확한 정보를 확인할 수 없어 도움을 드리기가 어렵습니다. ㅠㅠ 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 원격지원 등으로 확인 후 좀 더 상세하게 안내 드리겠습니다. 감사합니다.

  11. 가족사진 2017.06.09 07:49 신고  수정/삭제  댓글쓰기

    사진을 다날렸는데 확장자가 CRYP1 인데 복호화할수 있을까요??

    • BlogIcon 알약(Alyac) 2017.06.09 09:11 신고  수정/삭제

      소중한 사진이 암호화되어 정말 안타까운 말씀 드립니다. 죄송하지만 말씀하신 내용만으로는 저희가 정확한 증상 파악이나, 랜섬웨어 종류 여부를 알 수 없습니다. 알약 [신고하기]를 통해 파일 샘플 등을 상세 내용과 함께 보내주시면, 확인 후 좀 더 자세한 안내를 드리겠습니다.
      만약 감염된 랜섬웨어 복호화툴이 공개되어 있다면 복호화할 수 있으나, 그렇지 않은 경우 현재까지 감염된 파일을 복구할 수 있는 방법은 없습니다. 그러나 향후 복호화툴이 개발될 수도 있으니, 중요한 파일이라면 별도의 저장매체에 보관해두시길 권해 드립니다. 감사합니다.

  12. 이교형 2017.06.14 04:49 신고  수정/삭제  댓글쓰기

    aca9로 파일이 되있는데 복구가능한가요...

    • BlogIcon 알약(Alyac) 2017.06.14 09:24 신고  수정/삭제

      정말 죄송하지만 말씀하신 내용만으로는 상세 증상 파악이 어려워 도움을 드리기가 어렵습니다. ㅠㅠ 알약 [신고하기]를 통해 관련 내용을 신고 부탁 드릴게요! 이후 원격지원 등으로 상세 정보 확인 후 안내를 드리겠습니다. 감사합니다.

  13. 분석 2017.06.20 07:46 신고  수정/삭제  댓글쓰기

    분석좀 해주세요. 이메일 남겨주시면 보내드리겠습니다

    • BlogIcon 알약(Alyac) 2017.06.20 09:38 신고  수정/삭제

      안녕하세요. 알약입니다. 랜섬웨어 의심 샘플 분석을 요청하시는 것인지요? 알약 [신고하기]를 통해 관련 파일을 첨부하여 신고해주시면, 확인 후 기재해주신 연락처로 회신 드리겠습니다. 이 점 확인 부탁 드립니다. 감사합니다.

  14. 사진 2017.06.22 09:03 신고  수정/삭제  댓글쓰기

    안녕하세요 혹시 rsa-2048랜섬웨어 복호화 툴이 나와있나요?

    • BlogIcon 알약(Alyac) 2017.06.22 09:13 신고  수정/삭제

      말씀하신 rsa-2048은 랜섬웨어의 이름이 아닌, 암호화 알고리즘을 의미합니다. 현재까지 해당 암호화 알고리즘을 이용한 랜섬웨어의 복호화툴은 제작이 불가능합니다. 하지만 랜섬웨어 제작자의 실수로 인해 관련 정보가 분석을 통해 노출되는 경우에는, 간혹 복호화툴이 제작되기도 합니다. 이 점 확인 부탁 드리겠습니다. 감사합니다.

  15. 궁금이 2017.06.23 16:27 신고  수정/삭제  댓글쓰기

    5월 25일 아래와 같은 파일이 바탕화면에 나타났어요
    악성코드인가요?

    efm-npf.sys
    npotools.dll
    packet.dll
    wanpacket.dll
    wpcap.dll

    • BlogIcon 알약(Alyac) 2017.06.27 08:56 신고  수정/삭제

      안녕하세요. 죄송하지만 말씀하신 내용만으로는 정확한 내용 파악이 어렵습니다. 알약 [신고하기]를 통해 관련 내용과 파일명 등을 신고해주시면, 원격지원 등으로 확인 후 좀 더 상세한 안내를 드리겠습니다. 감사합니다.

  16. 랜선웨어 감여뮤ㅠ 2017.10.18 19:45 신고  수정/삭제  댓글쓰기

    lukitus 확장자로 컴퓨터랑, 외장하드 둘다 감염되었습니다. 사진, 파워포인트 등등 잠겼어요.. 해결방법 있을까요?

    • BlogIcon 알약(Alyac) 2017.10.19 13:29 신고  수정/삭제

      안녕하세요. 감염되신 랜섬웨어는 Locky랜섬웨어 변종으로 추정되며, 아직까지 복호화 툴은 개발되지 않았습니다. 향후 복호화툴이 개발될 수도 있으니, 중요한 파일이라면 별도의 저장매체에 보관해두시길 권해 드립니다. 또한 랜섬웨어에 재감염을 막기 위해 os 및 sw를 최신버전으로 유지하시고, 중요파일을 주기적으로 별도 매체에 백업해 주시기 바랍니다. 도움을 드리지 못해 죄송합니다. 감사합니다.

티스토리 방명록 작성
name password homepage