상세 컨텐츠

본문 제목

CryptXXX 개발자, 일부 랜섬웨어 버전에 무료 복호화 키 제공

국내외 보안동향

by 알약(Alyac) 2016. 7. 15. 14:10

본문

CryptXXX 개발자, 일부 랜섬웨어 버전에 무료 복호화 키 제공

CryptXXX Devs Provide Free Decryption Keys for Some Ransomware Versions


CryptXXX 랜섬웨어에 의해 데이터가 암호화된 사용자들에게 희소식이 있습니다. CryptXXX 랜섬웨어 Tor 기반의 지불 사이트에 방문한 사용자들이 그들의 ID로 로그인하자, 복호화 안내를 받는 대신 실제 복호화 키를 무료로 받았습니다. 그들은 로그인 외에 특정한 조치를 취하지 않았습니다.


이는 모든 사용자를 대상으로 한 것이 아니라, 파일에 .crypz와 .cryp1 확장자가 붙은 채로 암호화하는 CryptXXX 랜섬웨어 변종에 걸린 사용자들에게만 해당됩니다.


지난 5월, TeslaCrypt 랜섬웨어의 배후에 있는 범죄자들이 모든 피해자들의 파일을 복구할 수 있는 마스터 키를 공개한 적이 있습니다. CryptXXX는 마스터키를 사용하지 않고, 각각의 사용자에게 서로 다른 프라이빗 키를 적용합니다. 따라서 모든 CryptXXX 사용자들의 파일들을 한번에 복호화하는 매직 키는 존재하지 않습니다.


현재까지는 이 키가 의도적으로 공개된 것인지, 서버 오류인지 밝혀지지 않았습니다. 그러나 전문가들은 서버 오류인 것으로 예상하고 있습니다. CryptXXX의 구버전에서는 복호화 툴이 개발되었을 만큼, 암호화 루틴의 문제점이 다수 발견되어왔기 때문입니다.


Bleeping Computer의 Lawrence Abrams는 간단한 테스트를 거쳐 무료 키를 얻을 수 있는 사용자들과 그렇지 않은 사용자들의 카테고리를 요약해냈습니다.


- 키가 무료로 제공 되는 타입


.Crypz 확장자 (UltraDecryptor)

Ransom Note Name: ![victim_id].html

Ransom Note Name: ![victim_id].txt

Example TOR Url: http://xqraoaoaph4d545r.onion.to

Example TOR Url: http://xqraoaoaph4d545r.onion.cab

Example TOR Url: http://xqraoaoaph4d545r.onion.city


.Cryp1 확장자 (UltraDecryptor)

Ransom Note Name: ![victim_id].html

Ransom Note Name: ![victim_id].html

Example TOR Url: http://eqyo4fbr5okzaysm.onion.to

Example TOR Url: http://eqyo4fbr5okzaysm.onion.cab

Example TOR Url: http://eqyo4fbr5okzaysm.onion.city



- 키가 무료로 제공 되지 않는 타입


.Crypt 확장자 (UltraDeCrypter)

Ransom Note Name: [victim_id].html

Ransom Note Name: [victim_id].txt

Example TOR Url: http://klgpco2v6jzpca4z.onion.to

Example TOR Url: http://klgpco2v6jzpca4z.onion.cab

Example TOR Url: http://klgpco2v6jzpca4z.onion.city


.Crypt 확장자 (Google Decryptor)

Ransom Note name: !Recovery_[victim_id].html

Ransom Note name: !Recovery_[victim_id].txt

Example TOR Url: http://2zqnpdpslpnsqzbw.onion.to

Example TOR Url: http://2zqnpdpslpnsqzbw.onion.cab

Example TOR Url: http://2zqnpdpslpnsqzbw.onion.city


랜덤 확장자 (UltraDecryptor)

Ransom Note Name: @[victim_id].html

Ransom Note Name: @[victim_id].txt

Example TOR Url: 2mpsasnbq5lwi37r.onion.to

Example TOR Url: 2mpsasnbq5lwi37r.onion.cab

Example TOR Url: 2mpsasnbq5lwi37r.onion.city


확장자 없음 (Microsoft Decryptor)

Ransom Note Name: README.html

Ransom Note Name: README.txt

Example TOR Url: http://ccjlwb22w6c22p2k.onion.to

Example TOR Url: http://ccjlwb22w6c22p2k.onion.city


혹시 복호화 과정에서 도움이 필요한 사용자가 있다면, Bleeping Computer 포럼에 방문하여 정보를 제공받으시길 바랍니다.




출처 :

http://news.softpedia.com/news/cryptxxx-devs-provide-free-decryption-keys-for-some-ransomware-versions-506333.shtml

http://www.bleepingcomputer.com/news/security/cryptxxx-providing-free-keys-for-crypz-and-cryp1-versions/



관련글 더보기

댓글 영역

  • 프로필 사진
    2016.08.18 15:25
    키가 무료로 제공되는 타입에 걸린것 같아요.
    .Cryp1 확장자로 바뀌어 있습니다.
    무료 복호화키를 지금도 다운 받을수 있나요??
    • 프로필 사진
      2016.08.18 18:07 신고
      안녕하세요. 관련 내용은 위 포스팅에 있는 포럼(http://www.bleepingcomputer.com/forums/t/609690/ultracrypter-cryptxxx-ultradecrypter-ransomware-help-topic-crypt-cryp1/)을 참고해주시길 부탁 드리겠습니다. ^^ 감사합니다.
  • 프로필 사진
    2016.08.24 09:03
    비밀댓글입니다
    • 프로필 사진
      2016.08.24 09:42 신고
      CryptXXX 랜섬웨어에 감염되었다는 말씀이신가요? 복호화에 관련된 도움은 포스팅 내에 있는 포럼(http://www.bleepingcomputer.com/forums/t/609690/ultracrypter-cryptxxx-ultradecrypter-ransomware-help-topic-crypt-cryp1/)을 참고해주시기 바랍니다. ^^ 감사합니다.
  • 프로필 사진
    2016.10.04 17:49
    비밀댓글입니다
    • 프로필 사진
      2016.10.05 09:36 신고
      안녕하세요. 복호화에 관련된 도움은 포스팅 내에 있는 포럼(http://www.bleepingcomputer.com/forums/t/609690/ultracrypter-cryptxxx-ultradecrypter-ransomware-help-topic-crypt-cryp1/)에서 확인해주시길 부탁 드리겠습니다. ^^ 감사합니다.
  • 프로필 사진
    2016.11.20 19:09
    ㅜㅜ키가 무료로 제공되지 않는 타입은 아직 복호화툴이 개발되지 않았다는 것인가요??
    • 프로필 사진
      2016.11.21 09:34 신고
      안녕하세요. CryptXXX는 마스터키를 사용하지 않고, 각각 사용자에게 서로 다른 프라이빗 키를 적용합니다. 말씀하신 것처럼 복호화툴이 공개된 타입은 복호화키가 공개된 것이며, 그렇지 않은 경우는 아직 공개되지 않은 것입니다. ㅠㅠ 관련하여 자세한 내용은 포스팅 내 포럼(http://www.bleepingcomputer.com/forums/t/609690/ultracrypter-cryptxxx-ultradecrypter-ransomware-help-topic-crypt-cryp1/)을 확인해주시기 바랍니다. 감사합니다.
  • 프로필 사진
    2017.01.11 11:31
    혹시 ..확장자명 BFAA에 대한 랜섬웨어 백신이나 자료가 있나요?????
    • 프로필 사진
      2017.01.11 14:41 신고
      안녕하세요. 말씀하신 내용만으로는 정확한 답변이 어렵습니다. 알약 [신고하기]를 통해 샘플 또는 관련 내용을 신고해주시면, 기재해주신 연락처를 통해 연락 드려 좀 더 정확한 안내를 드리도록 하겠습니다. 감사합니다.