상세 컨텐츠

본문 제목

CryptXXX 랜섬웨어 복호화 툴 공개!

국내외 보안동향

by 알약(Alyac) 2016. 4. 28. 09:22

본문

CryptXXX 랜섬웨어 복호화 툴 공개!

How to unlock a .crypt file


4월 15일, Proofpoint 보안 연구원들은 Angler Exploit Kit을 통하여 유포되는 새로운 형태의 랜섬웨어를 발견하였습니다. 파일들을 .crypt 확장자로 암호화 시키며, Angler Exploit Kit을 통하여 유포된다고 하여 Angler Exploit Kit의 별명인 XXX를 조합하여 CryptXXX라 명명하였습니다. 


CryptXXX에게 일단 감염되면 감염된 PC와 연결된 모든 데이터를 짧은 시간의 딜레이를 거친 후 암호화를 시작하는데, 이는 공격자가 피해자가 피해를 당한 시점을 혼동시키고, 랜섬웨어 악성코드를 유포하는 웹사이트를 찾기 어렵게 만들기 위해서 입니다. 


최근의 랜섬웨어들은 복호화 알고리즘을 찾아내기가 매우 어려운데, 다행히도 CryptXXX은 쉽게 크랙이 되었으며, 이에 카스퍼스키 연구원들은 복호화 툴인 RannohDecryptor 개발하여 공개하였습니다. 


RannohDecryptor 툴은 처음에 Rannoh ransomware로 암호화 된 파일을 복호화 하기 위하여 개발된 툴이지만, 이번에 로직을 추가하여 CryptXXX로 암호화 된 파일도 복호화 할 수 있도록 업그레이드 하였습니다. 



RannohDecryptor의 사용방법은 여기서 확인해보실 수 있습니다. 


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.CryptXXX로 탐지중에 있습니다.


+ 추가


RannohDecryptor가 공개된 이후 CryptXXX 랜섬웨어 제작자들은 복호화가 되지 못하게 CryptXXX2.0을 개발하여 다시 유포하기 시작하였습니다. 그래서 한동안 RannonDecryptor로 복호화 하지 못하는 경우가 발생하였습니다. 


하지만 5월 16일 현재, 복호화 로직이 추가되어 RannonDecryptor로 CryptXXX 2.0도 복호화가 가능하오니 참고부탁드립니다. 




참고 : 

https://blog.kaspersky.com/cryptxxx-ransomware/11939/

관련글 더보기

댓글 영역