포스팅 내용

국내외 보안동향

CryptXXX 3.0 등장

CryptXXX 3.0 등장

CryptXXX updated to version 3.0, Decryptors no longer Work


2016년 4월, 카스퍼스키 연구원들은 CryptXXX 랜섬웨어의 취약점을 찾아 복호화 툴을 개발하였습니다. 


▶ CryptXXX 랜섬웨어 복호화 툴 공개! 포스팅 보러가기


CryptXXX 랜섬웨어 제작자는 얼마 지나지 않아 새로운 코드를 추가한 CryptXXX 2.0을 개발하였으며, 보안연구원들은 또다시 복호화 툴을 개발하였습니다.


그리고 2016년 5월 21일, CryptXXX 3.0이 출현하였습니다. 이 CryptXXX 3.0은 카스퍼스키가 개발한 RannohDecryptor 툴로 복호화가 불가능 합니다. 


랜섬웨어 CryptXXX는 최초 출현 이후에 지속적으로 각종 취약점과 허점들이 있었고, 이런 부분을 이용하여 카스퍼스키 연구원들은 복호화 툴을 만들어 사용자들에게 무료로 복호화 툴을 제공하였습니다. 현재 가장 최신버전인 CryptXXX 3.0은 카스퍼스키가 개발한 복호화 툴을 우회하려 업데이트 된 것입니다. 


Cryptxxx 3.0 랜섬웨어에 감염되면 아직까지는 해당 랜섬웨어가 암호화한 파일들을 복호화시킬 수 있는 툴이 존재하지 않습니다. 3.0부터는 공개키(Public Key)를 사용하여 파일 일부분을 암호화하기 때문에 프로그램의 취약점이나 버그가 발견되지 않는 이상 2.0처럼 완전한 복구툴을 제작하는 것이 불가능 합니다. 또한 프로그램 자체에 버그가 있는 관계로 파일을 영원히 손상시켰을 가능성이 높습니다. 따라서 실제로 비트코인으로 결제를 진행하고 해커로부터 비밀키를 받는다고 해도 복원되지 않을 가능성이 있기 때문에 만약 CryptXXX 3.0에 감염된다면, 비트코인을 결제하지 말라고 당부하였습니다. 


카스퍼스키 연구원들은 사용자들에게 새로운 복호화 툴을 개발할 때까지 기다리라고 권고하였습니다. 



출처 : 

http://www.bleepingcomputer.com/news/security/cryptxxx-updated-to-version-3-0-decryptors-no-longer-work/

  1. 이전 댓글 더보기
  2. 오늘 2016.06.01 21:17  수정/삭제  댓글쓰기

    말로만 듣던 랜섬웨어 바이러스 때문에 D 드라이브에 있는 파일 반 정도가 감염됐네요.
    정말 암담합니다ㅜㅜ
    저는 크롬을 쓰지만 부모님이 익스플로어를 써서...
    오늘 낮에 부모님이 컴퓨터 하던 중에 감염된 것 같아요.
    찾아보니 cryptxxx 3.0은 복구 프로그램도 없네요. ㅜㅜ
    이미 감염된 건 그렇다쳐도 다른 파일들도 감염될까 두렵습니다.
    부랴부랴 감염안 된 파일들만 우선 백업중입니다.
    잘 몰라서 그런데 혹시 부팅할 때마다 감염되는 파일이 늘어나는 건가요?
    지금 포맷해야하나 하고 고민중입니다..

    • 알약(Alyac) 2016.06.03 10:13 신고  수정/삭제

      오늘님 안녕하세요. D드라이브에 있는 파일 반정도가 감염됬다고 하시면 감염되지 않은 파일 확장자 들은 암호화 대상이 아니였거나, 아니면 랜섬웨어가 동작하는 과정에서 오류가 발생한 것으로 추정됩니다. 부팅할때마다 감염파일이 늘어날 가능성은 없으나, 포멧을 하시는 것을 권장드립니다. 감사합니다.

  3. ㅠㅠ 2016.06.04 21:44  수정/삭제  댓글쓰기

    나한테도 이런일이 일어날줄이야.. 영상, 노래, 사진, 문서 다 날아갔네요.
    저는 c,d 둘다 감염이고 용량 상관없이 죽은것도 있고 살아남은(?) 것도 있고 그렇네요.
    최신버전이라 아직 복구되는 프로그램이 없어서 답답.. 조금만 기다려 보려고요.

    • 알약(Alyac) 2016.06.07 14:58 신고  수정/삭제

      ㅠㅠ님 안녕하세요. 암호화가 되지 않은 파일들은 랜섬웨어 암호화 리스트에 포함되지 않은 파일로 추측됩니다. 후에 복호화 툴이 나올 가능성도 있으므로 암호화 된 파일들을 잘 보관하고 계시기 바랍니다. 감사합니다.

  4. RSA 2016.06.05 02:19  수정/삭제  댓글쓰기

    RSA 랜섬웨어 걸려 알약깔아 치료하기 했는데
    데이타파일들 모두 암호화 되어버렸네요 ㅠ
    문서등 데이타파일들 확장자 .cryp1으로 다 바꼈습니다
    알약 정밀검사에 trojahn.agent.btod로 탐지되어 비트코인 달라는 html 파일들 잡히고 더이상은 안잡히는데 숙주파일은 없나요? 포맷안하고 사용해도 되나요?

    암호화된 파일들 복호화툴 사용하면 풀릴까요?
    RannohDecryptor 사용하면 되나요?
    복호화툴 사용하면 원본파일을 변형시켜 이후에 전혀 사용 못하게 되는건 아닌지요?

    그리고 파일들 살펴보다보니 이상한 log 파일들 있던데.. mongoose gatherinfo (3월말부터 주기적으로 log 정보가 있네요) 랜섬웨어나 해킹과 관련있는건가요? 최근 종료할때 시간이 많이걸리고 몇일전 종료하다보니 백그라운드파일 때문에 종료 늦어진다는 메세지에 node.exe 란 언급있던데.. 이것도 랜섬 해킹과 관련있나요? 개인pc를 해커가 들락날락하며 db로 활용하고 그런건가요? 마우스 오른쪽버튼 작동이 잘 안돼 여러번 하게되는것도 그렇고..이것저것 찜찜한것들이 있네요

    • 알약(Alyac) 2016.06.07 15:04 신고  수정/삭제

      RSA님 안녕하세요. 일반적으로 랜섬웨어는 사용자 PC를 감염시켜 파일들을 암호화 시킨 후 자기 스스로 삭제를 진행하기 때문에 포맷을 하지 않으셔도 무방합니다. 하지만 랜섬웨어에 감염된 근본적인 문제점이 해결되지 않았기 때문에 사용하시는 SW들 및 OS를 모두 최신으로 업데이트 해주시기 바라며 포멧을 하신 후 최신 SW와 OS로 설치하는 것을 추천드립니다. 그리고 현재 감염되신 랜섬웨어는 Cryptxxx3.0 버전으로 아직 복호화 툴이 개발되지 않았습니다. 하지만 후에 복호화 툴이 개발될 가능성도 있으니, 암호화 된 파일들 중 중요한 파일들은 따로 보관해 주시는 것이 좋을것 같습니다. 말씀주신 PC상태로는 어떤 상황인지 저희쪽에서 확인이 어려운점 양해부탁드립니다. 감사합니다.

  5. RSA 2016.06.05 02:22  수정/삭제  댓글쓰기

    adobe flash 새로깔고 업데이트 했는데.. adobe flash 깔때 chrome도 같이 깔아야하나요? 랜섬웨어 관련해서 chrome을 사용해야하나요?
    최신으로 업데이트해가며 사용해야할것이 윈도우 중요업데이트 adobe flash java adobe reader인가요? adobe reader는 adobe reader DC인가요?


    모르는 사이트나 블로그 들어갈때 혹은 자료내려받을때 바이러스 검사 저절로 되는거 아닌가요? 따로 조치해줄 팁이 있으면 알려주십시오

    • 알약(Alyac) 2016.06.07 15:10 신고  수정/삭제

      RSA님 안녕하세요. 크롬 설치는 RSA님의 선택이십니다. 크롬브라우저를 사용한다고 랜섬웨어에 걸리지 않거나 하지 않습니다. 최신 업데이트를 해야하는 것은 adobe flash player, 윈도우 보안업데이트 뿐만 아니라, 사용하시는 한글문서, 오피스 등 모든 프로그램을 지칭합니다. 보안 팁은 http://blog.alyac.co.kr/368, http://blog.alyac.co.kr/311 , http://blog.alyac.co.kr/531 포스팅을 참고부탁드립니다. 감사합니다.

  6. mnsn 2016.06.05 21:32  수정/삭제  댓글쓰기

    컴퓨터는 문외한이라 여차해서 찾아보니 cryptxxx 3.0에 걸린거 같은데
    사진이나 영상 같은건 많이 암호화가 다행히 안걸리고 몇몇 중요하지 않는것만 걸려서 이런거 삭제만 하면 되는건가 싶어요...이걸 어떻게 해야하는지를 모르겠어서 그냥 포맷을 하는게 좋을까요?

    • 알약(Alyac) 2016.06.07 15:12 신고  수정/삭제

      mnsn님 안녕하세요. 암호화 된 파일이 중요파일이 아니라 다행입니다. 백신으로 랜섬웨어 잔여파일을 삭제하신 후 중요파일들은 백업해 놓으신 후, 사용하시는 SW들을 최신버전 및 윈 OS 보안업데이트를 해주시기 바랍니다. 감사합니다.

  7. ㅠㅠㅠㅠ 2016.06.06 04:00  수정/삭제  댓글쓰기

    안녕하세요 1시간 전쯤에 랜섬웨어에 걸렸는데 crypt.3x인줄 알았더니 거기서 또 변종된 crypz라고 뜨네요. 이 경우에는 복호화 툴이 뜰때까지 파일 지우지 말고 그대로 기다리고 있어야하나요?
    또 이 컴퓨터 그대로 사용해도 될까요? usb나 태블릿 같은 기기 연결하면 거기에도 랜섬웨어가 감염되나요?

    • 알약(Alyac) 2016.06.07 15:13 신고  수정/삭제

      ㅠㅠㅠㅠ님 안녕하세요. 암호화 된 파일들을 그대로 놔두고 백신으로 랜섬웨어 잔여파일들을 탐지 및 차단하면 계속 사용해도 되긴 합니다. 하지만 그럴 경우 여전히 ㅠㅠㅠㅠ님 PC에 취약점이 존재할 수 있기 때문에 또다시 랜섬웨어에 감염될 위험이 있습니다. 컴퓨터 포멧을 하신 후 OS 및 모든 SW를 최신버전으로 설치해 주시는 것을 추천드리며, 중요 파일들은 주기적으로 백업해주세요. 만약 랜섬웨어에 감염되는 시점에 USB나 태블릿 기기를 연결되어 있다면 모두 암호화 됩니다. 감사합니다.

  8. ㅠㅠㅠ 2016.06.06 16:01  수정/삭제  댓글쓰기

    안녕하세요. 저도 crypz에 걸렸는데 지금 어떡해야 할지 모르겠네요ㅠㅠ...복구시킬 수 있는 방법은 없을까요??포맷하는 방법 밖에는 없는걸까요..ㅠ

    • 알약(Alyac) 2016.06.07 15:16 신고  수정/삭제

      ㅠㅠㅠ님 안녕하세요. 현재까지는 복구할 수 있는 방법이 없으며, 이후에 복호화 툴이 개발되는 경우도 있으니 암호화 된 중요 파일들은 따로 보관하시는것을 추천드립니다. 백신으로 랜섬웨어 잔여파일을 탐지 및 치료하시고 모든 SW 최신업데이트 및 윈도우 보안업데이트를 진행해주시기 바랍니다. 가장 안전한 방법은 포멧 후 모든 프로그램을 최신 버전으로 설치하시는 것을 권장드리며, 중요파일은 항상 백업해 두시기 바랍니다. 감사합니다.

  9. star 2016.06.06 18:19  수정/삭제  댓글쓰기

    오늘 랜섬웨어에 감염되었네요...
    오피스,포토샵등 ssd 부팅드라이브에 설치하고 사용중인데 실행파일들은 멀쩡합니다. 그러나 부팅드라이브의 모든 문서,사진,음악,동영상 등등 ... 중요한 작업파일들이 감염되어 문제입니다.

    안랩의 복구툴을 실행해보니 cryptxxx 3.x 악성코드는 복원불가네요...
    복호화 툴이 공개될 때까지 일단 감염파일을 보유는 하고 있어야 하나요? 아님 미련없이 포맷을 해야할까요?

    백업드라이브는 비트로커로 암호화 걸어놨었는데 안전하고요...

    중요한 자료의 백업의 중요함이 절실하게 느껴지는 현충일입니다.

    • 알약(Alyac) 2016.06.07 15:18 신고  수정/삭제

      star님 안녕하세요. 현재까지 cryptxxx 3.0 랜섬웨어 복호화 툴은 개발되지 않은상황입니다. 암호화 된 파일이 중요한 파일이라면 복호화 툴이 개발될 가능성도 있으니 따로 보관해 주시기를 추천드립니다. 하지만 복호화 툴 개발이 불가할 경우도 있으니, 파일 보존여부는 star님께서 판단하시면 되겠습니다. 감사합니다.

  10. 한경원 2016.06.06 18:33  수정/삭제  댓글쓰기

    저도 d드라이브 일부가 감염되었습니다.
    안전모드로 mzk실행하여 일단 숙주파일은 제거했는데 감염된 파일은
    당장 어찌 손쓸 도리가 없어 혹시 나올지모를 복구프로그램을 기다립니다.
    여론을 들어보니 복구 프로그램이 완성될 가능성이 많이 낮다고 하더군요.

    • 알약(Alyac) 2016.06.07 15:20 신고  수정/삭제

      한경원님 안녕하세요. 복구툴의 개발가능여부에 대해서는 저희쪽에서 말씀드리기가 힘듭니다. 하지만 전세계 백신업체들이 복구툴 개발을 위해 노력하고 있음을 알려드립니다. 도움을 드리지 못하여 죄송합니다.ㅠㅠ

  11. 이민영 2016.06.06 23:32  수정/삭제  댓글쓰기

    저도 방금 crypz에 감염되어 굉장히 당황스럽습니다...
    이정도로 많은 인원이 당하는데 손쓸방법이 없는 건가요??ㅜㅜ
    가족사진이 너무 많아 포맷도 굉장히 망설여지네요... 관리 잘못한 제잘 못이지만..ㅜㅜ
    어떻게 복구할 방법은 없는 건가요??????

    • 알약(Alyac) 2016.06.07 15:21 신고  수정/삭제

      이민영님 안녕하세요. 랜섬웨어에 감염되셨군요 ㅠ_ㅠ 현재까지 복구를 할 수 있는 방법은 없습니다. 도움을 드리지 못하는 점 양해부탁드립니다. 감사합니다.

  12. 아니요 2016.06.07 01:25  수정/삭제  댓글쓰기

    유에스비에 연결하면 휴대폰도 다 잠깁니다.;; 빡쳐서 폰 그냥 다 포맷햇네여;

  13. crypz ;; 2016.06.07 01:27  수정/삭제  댓글쓰기

    저는 유튜브 음악 추출몇번만햇는데 감염된거같네여..

    • 알약(Alyac) 2016.06.07 15:23 신고  수정/삭제

      crypz ;; 님 안녕하세요. 랜섬웨어의 감염경로는 워낙 다양하기 때문에 랜섬웨어 방어 방법은 사용자가 조심하는 방법밖에 없습니다.ㅠㅠ 감사합니다.

  14. 감염 2016.06.07 13:47  수정/삭제  댓글쓰기

    2016년 6월 6일 15시 경에 걸렸는데 모두 비슷한 시간에 걸린거 같군요. 혹시 동부 대회 참여하시는분?
    동시간대에 공격한거 같습니다.

  15. songreal 2016.06.07 18:36  수정/삭제  댓글쓰기

    안녕하세요. 지난 4월 제 PC 에서 랜섬웨어 공격을 차단했다는 팝업이 열렸어요. 부랴부랴 모든 하드디스크 풀스캔 해보고 이상없음을 확인했는데요. 그때 각 디스크마다 이상한 이름의 숨김속성 폴더가 만들어졌더군요. 랜섬웨어 방지용인가보다 싶어 그대로 두고 있는데, 그 후 윈도 재설치하거나 해서 알약 재설치하게 되면 그 숨김속성 폴더가 새로 더 만들어지는 것 같더군요. 그래서 지금 디스크 하나에 그런 폴더가 서너개씩 되는데요. 오늘 컴퓨터에 문제가 생겨 윈도10 재설치하고 알약 설치했더니 오늘 날짜로 또 숨김폴더가 생겼습니다. C 드라이브야 어차피 윈도 재설치했으니 그런 폴더가 이제 하나 뿐인데 다른 디스크드라이브들에는 이게 계속 누적되서 이미 여러개가 되었거든요. 그러면 이전에 만들어진 폴더들은 지워도 되는가 궁금해요. 답변 좀 부탁드리겠습니다. 감사합니다.

    • 알약(Alyac) 2016.06.08 10:28 신고  수정/삭제

      songreal님 안녕하세요.트랩폴더가 여러개 생기는 부분은 버그로 현재 수정중에 있습니다. 이전에 만들어진 폴더들은 모두 삭제하셔도 되며, 삭제하실때에는 알약 랜섬웨어 차단기능을 OFF 하신 후 삭제하셔야 합니다. 불편을 드려 죄송합니다. 감사합니다.

  16. Mabin 2016.06.11 09:54  수정/삭제  댓글쓰기

    원본 기사 마지막을 보니, 랜섬웨어 제작자가 복구도구를 업데이트했다는 정보가 추가되어있군요...

    500GB 가까운 자료들이 잠겨버렸는데...
    이번 랜섬웨어는 암호화 방식때문에 백신사에서 완전복구툴을 만들기 굉장히 어려울 것 같아서... 고민되네요... 비용 지불해야할지..

    • 알약(Alyac) 2016.06.13 10:38 신고  수정/삭제

      Mabin님 안녕하세요. 소중한 정보들이 암호화 되셨다니 안타깝습니다.ㅠ_ㅠ 해커에게 비용을 지불하는 방법은 신중하게 생각하셔야 합니다. 비용을 지불하여도 복호화 키를 돌려받지 못할 가능성도 있으며, 해커가 랜섬웨어를 개발하는데 자금을 보태주는 격과 같기 때문입니다. 추후에 복호화 툴이 개발될 가능성도 있으니 암호화된 자료들은 잘 보관해 주시고, 또 다시 랜섬웨어에 걸리지 않도록 SW 및 OS를 최신으로 업데이트 해주시고 중요한 자료들에 대해서는 주기적으로 백업해 주시기 바랍니다. 감사합니다.

  17. 2016.06.12 13:47  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 알약(Alyac) 2016.06.13 10:50 신고  수정/삭제

      MIN님 안녕하세요. 말씀주신 내용으로 보았을 때 CryptXXX 3.0에 감염되신것으로 추정됩니다. 만약 복호화 툴이 개발된다면 복구가 가능할 것으로 추측됩니다. 감사합니다.

  18. 덕구 2016.07.19 21:49  수정/삭제  댓글쓰기

    CryptXXX 3.0에 감염된것 같은데요...
    파일이 확장자뿐 아니라 파일이름자체가 다 바뀌었는데요..
    해커가 한개 복원해 준다는 것도 해보니 이름은 이전처럼 안돼네요;;;
    이름이 같아야 제가쓰는툴에서 파일들이 열리는데 혹시 이전에 복호화툴은 이름도 그대로 복원해 주었나요?
    다들 작업한 중요한 파일이라 복원툴을 기다려 볼려고 하는데 그게 걱정이네요;;

    • 알약(Alyac) 2016.07.20 09:35 신고  수정/삭제

      안녕하세요 알약입니다. Cryptxx 3.0 복호화 툴을 이용하면 파일명 그대로 복호화가 가능했습니다. 랜섬웨어는 SW취약점을 통하여 감염되는 만큼, 사용하시는 SW 및 OS를 최신으로 업데이트하시고 중요한 자료는 주기적으로 백업하시길 당부 드립니다. 감사합니다.

  19. 2016.07.20 13:35  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 알약(Alyac) 2016.07.20 17:15 신고  수정/삭제

      안녕하세요. 알약입니다. 말씀하신 내용을 보니 Cerber 랜섬웨어에 감염된 것으로 추정됩니다. 알약 랜섬웨어 차단창이 뜨고 파일이 암호화가 되지 않은 것은, 알약 랜섬웨어 차단기능이 랜섬웨어 암호화 행위를 성공적으로 저지하였으나, SW취약점을 통한 랜섬웨어의 공격은 차단하지 못한 것입니다. 알약을 최신 버전으로 업데이트하신 후에 검사해주시기 바랍니다.
      만약 아무것도 탐지가 되지 않는다면 아직 알약 DB에 업데이트되지 않은 것으로 보이니 조금 기다리셨다가 다시 업데이트한 후 탐지 및 치료하시면 됩니다. 관련 내용은 http://blog.alyac.co.kr/694를 참고해주시기 바랍니다. 또한 윈도우 보안업데이트 외에도 자주 사용하는 SW(어도비 플래시 플레이어 등)도 꼭 업데이트 해주세요! 앞으로도 보안 수칙을 잘 유념해 주시기 바랄게요! 감사합니다.

  20. 다니에르 2016.08.03 09:45  수정/삭제  댓글쓰기

    랜섬웨어 예방법 중 외장하드 또는 USB에 자료 백업이 필요하다는 글을 알약 블로그에서 봤습니다.
    그렇다면 컴퓨터가 랜섬웨어가 감염되었더라도 컴퓨터에 연결되어 있는 외장하드나 USB는 안전하다는 뜻인가요?
    즉 저는 회사 컴퓨터를 사용할 때 항상 컴퓨터와 외장하드를 연결한 상태로 사용합니다.
    가끔 집에서 업무를 해야될 때 외장하드를 컴퓨터와 분리하지 그 외에는 계속 연결해두고 사용합니다

    만약 이 경우 회사 컴퓨터가 랜섬웨어가 감염된다면 외장하드는 안전한가요?

    • 알약(Alyac) 2016.08.03 13:07 신고  수정/삭제

      안녕하세요. 알약입니다. 만약 랜섬웨어에 감염되는 시점에 USB나 외장하드가 연결되어 있다면 그 안에 있는 파일들도 모두 암호화될 수 있습니다. ㅠㅠ 외부 기기에 백업이 필요하다고 말씀드리는 것은 랜섬웨어에 감염되기 전, 만약을 대비해 따로 백업해두시는 것을 뜻합니다. 참고가 되셨길 바라겠습니다. 감사합니다.

  21. 다니에르 2016.08.03 15:14  수정/삭제  댓글쓰기

    정보 감사합니다!

    • 알약(Alyac) 2016.08.03 17:41 신고  수정/삭제

      유용한 포스팅이었길 바라겠습니다. 댓글 감사드립니다. ^^

티스토리 방명록 작성
name password homepage