포스팅 내용

국내외 보안동향

Cerber 랜섬웨어 v2 발견... 더 이상 복호화 불가

Cerber 랜섬웨어 v2 발견... 더 이상 복호화 불가

Cerber Ransomware v2 Spotted Online, Is Now Undecryptable


지난달 가장 활동이 왕성했던 랜섬웨어인 Cerber가 지난주 업데이트되었습니다. 공격자들은 사용자가 무료로 복호화할 수 있었던 기존 툴을 무력화시켰습니다.


2016년 초에 발견된 Cerber는 몇 개의 언어로 '말하는' 기능을 가진 랜섬웨어입니다. 시간이 흘러, 해당 랜섬웨어는 근래 가장 많이 보이는 위협 중 하나가 되었습니다. 그 이유로는 보안 연구원들이 이를 해킹하려는 시도나 노력을 하지 않았고, 범죄자들이 이를 전보다 더욱 신뢰하기 시작했기 때문입니다.


몇 주 전, 트렌드마이크로가 Cerber를 포함한 몇 개의 랜섬웨어 패밀리로 인해 암호화된 파일들을 복호화할 수 있는 ‘만능 랜섬웨어 복호화 툴’을 개발했습니다.


그러자 이후, Cerber의 배후에 있는 범죄자들은 암호화 루틴을 수정하고, 복호화 툴을 무력화시키도록 업데이트했습니다. 트렌드마이크로의 연구원인 PanicAll에 따르면, 새로운 Cerber의 주요 버전은 v1.5와 v2 두 가지입니다.


첫 번째 업데이트에서는 암호화 루틴을 변경하였고, v2는 확장자를 기존 .cerber 대신 .cerber2로 변경했습니다. 기술적으로, Cerber v2는 암호화 키를 생성하기 위해 CryptGenRandom Microsoft API를 사용하여 16바이트가 아닌 32바이트의 길이로 변경되었습니다.


Cerber v2는 ArcaBit, ArcaVir, Avast, Bitdefender, BullGuard, CA, Emsisoft, ESET, eTrust, F-Secure, Kaspersky, LavaSoft, TrustPort를 사용하는 PC에서는 랜섬웨어를 시작하지 않는 것이 특징입니다. 또한 OS의 언어가 아르메니아, 아제르바이잔, 벨로루시, 그루지야, 키르기스스탄, 카자흐스탄, 몰도바, 러시아, 투르크 메니스탄, 타지키스탄, 우크라이나, 우즈베키스탄의 언어일 경우에도 시작되지 않는 것으로 보입니다.


현재 v2는 456개의 파일 타입을 타겟으로 암호화합니다. 이는 지금까지 가장 광범위한 랜섬웨어 변종들 중 하나입니다. 또한 Cerber는 랜섬 스크린을 아래와 같이 업데이트했습니다.

 

<이미지 출처 : http://news.softpedia.com/news/cerber-ransomware-v2-spotted-online-is-now-undecryptable-507045.shtml>


한편, 알약에서는 해당 랜섬웨어를 Trojan.Ransom.Cerber로 탐지하고 있습니다.



출처 :

http://news.softpedia.com/news/cerber-ransomware-v2-spotted-online-is-now-undecryptable-507045.shtml

http://fuzzer.cn/2016/08/04/cerber2-and-the-differences/

  1. 슬프다 2016.11.25 22:48  수정/삭제  댓글쓰기

    cerber 랜섬웨어 때문에 중요했던 자료들이 모두 암호화 되었어요..
    아기 탄생,백일,돌사진,신혼여행,가족사진 등등..
    복호화 개발은 아예 안되는 건가요?

    • 알약(Alyac) 2016.11.28 09:09 신고  수정/삭제

      안녕하세요. 복호화 툴 개발에 관련해서는 저희가 정확한 답변을 드리기가 어렵습니다. ㅠㅠ 그러나 공개되는 복호화 툴이 있다면 알약 블로그를 통해 신속하게 알려드릴 수 있도록 노력하겠습니다. 암호화된 파일이 중요한 것이라면, 따로 보관하시길 권해 드립니다.
      더불어 향후 같은 피해를 입지 않도록, 중요한 파일은 꼭 백업해두시고 주요 SW를 항상 최신 버전으로 업데이트하시는 등 조치를 간곡히 당부 드립니다. 감사합니다.

  2. 참비 2016.12.21 16:47  수정/삭제  댓글쓰기

    안녕하세요 저도 cerber 랜섬웨어 때문에 중요한 데이터가 다 암호화가 되어버려 사용할수가 없는 상태네요. 더욱이 디자인 일을 하는 사람이라. 지금 맨붕 상태네요...
    헌데 이상한건 어떻게 다른건 다 놔두고 꼭 필요한 폴더에 있는 자료들만 이상태로 만들어 놓은건지..
    거기다 UBS로 연결해둔 외장하드에 있는 자료까지 이상태 입니다..

    다행이 몇달에 한번씩 노트북에 백업을 해 두는데 노트북은 괜찮긴한데요
    노트북에 있는 파일을 다시 PC로 가져와야 되는데 외장하드를 노트북에 연결하면 다른 곳으로 감염되거나 하진 않는건지 궁금하네요.
    또 제컴퓨터에 있는 자료들을 다른 사람과 공유하면 다운받은 그분께도 피해가 갈까봐 걱정인데 어떻게 대처해야 할지 막막합니다.

    외장하다를 하나더 구입해서 암호화된 파일을 모두 담아두고
    컴퓨터를 포맷해버리는것이 나을지 사용하는 프로그램만도 수십개라 포맷은 최후의 선택으로 해야되는데.. 확장자가 .a272로 된 이 파일들만 일단 모두 삭제 해 버리면 앞으로 괜찮은건지..
    전 v3를 사용하고 있는데 어제 감염사실을 알려줘서 격리조치는 해 둔 상태이고 드라이브3개를 모두 검사 해본결과 악성코드 2개만 추가 격리조취하고 지금은 깨끗한 상태인데 믿어도 되는건지 궁금하네요..

    복호화가 가능한 툴을 누군가가 만들면 툴을 어떻게 사용해야 파일들도 정상사용이 가능한건지.. 언젠가는 가능은 한 일인지... 차라리 해커에게 비용을 지불하고라도 파일을 살리는게 나을지...
    여쭤볼곳이 없어 답답한 마음에 덧글 남겨 봅니다.

    • 알약(Alyac) 2016.12.22 09:19 신고  수정/삭제

      안녕하세요. 먼저 랜섬웨어의 피해를 입으신 부분에 대해 매우 안타까운 마음입니다. ㅠㅠ 관련하여 답변 드리겠습니다.

      1. 감염되었던 PC와 외장하드라면 별도 검사를 해 보시는 것을 권해 드립니다. 대부분의 랜섬웨어는 자가삭제 기능을 갖고 있어, 감염이 완료된 후에는 스스로 삭제시키는 특징이 있습니다. 그러나 일부 랜섬웨어는 그렇지 않은 경우도 있습니다. 따라서 숙주파일이 있는지 여부를 확인해봐야 될 것 같습니다. 알약 [신고하기]를 통해서 관련 내용을 신고해주시면, 저희가 기재해주신 연락처를 통해 원격지원 등 조치를 취해드리겠습니다.
      2. 암호화된 파일이 중요한 것들이라면 별도로 보관해두시는 것을 추천 드립니다. 향후 랜섬웨어 복호화 툴이 공개되면 복구가 가능할 수도 있습니다. v3 관련해서는 관련 업체에 문의해주시길 부탁 드립니다.
      3. 복호화툴 개발에 대해서는 저희가 명확하게 드릴 말씀이 없습니다. ㅠㅠ 다만 랜섬웨어 관련 복호화툴이 공개되는 경우, 알약 블로그를 통해 신속하게 알려드리겠습니다.

      다시 한 번 안타까운 말씀 드리며, 향후 같은 피해를 입지 않도록 랜섬웨어 관련 예방 수칙을 꼭 준수해주시기 바랍니다. 감사합니다.

  3. 참비 2016.12.26 15:17  수정/삭제  댓글쓰기

    얄약 신고하기 기능을 이용해 봐야겠네요
    친절한 답변 감사합니다^^

    • 알약(Alyac) 2016.12.26 16:23 신고  수정/삭제

      신고하기를 통해 사용자분께 조금이나마 도움이 되었으면 좋겠습니다. 댓글 감사 드립니다. ^^

  4. 지은이 2017.01.11 04:04  수정/삭제  댓글쓰기

    안녕하세요,
    모두 와이파이 상태입니다.
    9일 6시쯤 케르베르 감염 차단했다며 알약이 알려줬고 신고했습니다. 저는 무사한줄 알고 급하게 외장하드로 파일을 옮기고 이를 다른 노트북에서 외장하드파일정리및 삭제를 했는데요(다운X), 10일 9시쯤 보니 원래 노트북과 외장하드모두 파일변환이 이루어져있었습니다. 아직 다른 노트북은 변환되지 않았습니다. 외장하드를 꽂았다는 이유만으로 다른 노트북 파일들도 위험한가요?

    + 다른 노트북의 경우 포맷 안했는데 시간이 지나도 변환이 안된다면 안전한가요?? 잠복기간은 없나요?

    • 알약(Alyac) 2017.01.11 08:31 신고  수정/삭제

      안녕하세요. 알약입니다. 최근 랜섬웨어는 백신의 차단 기능을 우회하는 경우가 있어, 완벽한 100% 탐지 및 치료가 어려운 경우가 많습니다. 따라서 미처 치료되지 못한 PC에 외장하드를 연결했을 경우, 외장하드까지 감염될 가능성이 있습니다.
      말씀하신 내용만으로는 자세한 증상 파악이 어려운데요. 알약 [신고하기]를 통해 신고를 해주셨다면, 기재하신 연락처를 통해 연락드린 후 원격지원 등으로 상세한 증상을 파악한 후 도움을 드리도록 하겠습니다. 감사합니다.

  5. 하오마루 2017.02.12 22:17  수정/삭제  댓글쓰기

    안녕하세요. 제가 사이트 하나 잘못 들어가서 랜섬웨어 걸렸는데. 뒤의 확장자 파일이 8d33으로 바껴져서 HELP-HELP-HELP였나? 아무튼 그 응용프로그램과 그 사진을 삭제해버렸는데 어떻게 되는건가요....

    • 알약(Alyac) 2017.02.13 09:05 신고  수정/삭제

      안녕하세요. 먼저 랜섬웨어 피해를 입으신 점 안타깝게 생각합니다. ㅠㅠ 말씀하신 내용만으로는 저희가 자세한 상황을 확인할 수 없어 정확한 답변을 드리기 어렵습니다. 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 기재해주신 연락처로 연락 드린 후 원격지원 등으로 신속한 조치를 취해 드리겠습니다. 감사합니다.

  6. 고병일 2017.02.20 20:25  수정/삭제  댓글쓰기

    아 저도 랜섬웨어 걸렸어요 ㅠㅠ
    사이트제작 해야하는데 큰일이네요..

  7. 김현준 2017.03.27 17:45  수정/삭제  댓글쓰기

    케르베르 이 랜섬웨어 V2말고 옛날버전은 복호화 할수있는 방법이 어떻게 되나요?

    • 알약(Alyac) 2017.03.28 11:32 신고  수정/삭제

      안녕하세요. 케르베르 v1을 말씀하시는 건가요? 관련하여 복호화 정보는 트렌드마이크로 사이트(https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor)에서 CERBER V1 내용을 참고해주시면 될 것 같습니다. ^^ 감사합니다.

  8. 박성욱 2017.04.04 10:08  수정/삭제  댓글쓰기

    안녕하세요.
    자료가 모두 암호화 되었습니다. 확장명이 8905로 되어 열리지 않습니다.
    제pc가 감염된건 아니고, 공유폴더만 감염되었습니다.
    공유폴더가있는 pc내 자료도 공유폴더외에 위치한 파일들은 감염되지않은것으로 보아
    다른숙주컴퓨터가 감염되고, 숙주컴퓨터를 통해 공유폴더를 감염시킨걸로 추정됩니다.
    현재 복구는 불가능한 건가요??

    • 알약(Alyac) 2017.04.04 12:51 신고  수정/삭제

      안녕하세요. 현재까지 변종 cerber 랜섬웨어 복호화 툴은 개발되지 않았습니다. 하지만 추후에 복호화 툴이 개발될 가능성도 있으니 중요파일들은 따로 외장하드에 보관해 주셔도 됩니다. 랜섬웨어의 피해에 대응하는 가장 효과적인 방법은 예방입니다. 자주 사용하시는 SW와 OS는 반드시 최신 버전으로 유지해주시기 바라며, 중요한 자료는 꼭 백업해두시길 당부 드립니다. 감사합니다.

  9. 배영진 2017.04.12 03:49  수정/삭제  댓글쓰기

    제가가지고있는 모든파일들이 외장하드를포함해서 전부암호화되었습니다.
    cerber인거같구요 사진을봐서는회색?바탕에 하양글씨에 글바탕은빨강색입니다
    버전이정확히는몇버전인진모르겠습니다 일하는데필요한문서들과 음악과사진들 그리고개인정보까지다들어있는거라서 ㅠㅠ 너무화가나네요 이거뭐어떻게방법이없을까요? 파일들이전부 .90fe 로변환되어있습니다 ㅠㅠ

    • 알약(Alyac) 2017.04.12 09:00 신고  수정/삭제

      안녕하세요. 먼저 피해를 입으신 점에 대해 안타까운 말씀 드립니다. ㅠㅠ 죄송하지만 말씀하신 내용만으로는 정확한 답변을 드리기가 어렵습니다. 알약 [신고하기]를 통해 관련 내용을 신고해주시면, 원격지원 등으로 확인 후 좀 더 상세한 안내를 드리겠습니다.
      더불어 랜섬웨어에 효과적으로 대응할 수 있는 방법은 예방입니다. 지금부터라도 중요한 파일은 반드시 백업해주시고, 자주 사용하는 소프트웨어나 OS는 반드시 최신 버전으로 유지해주시길 당부 드립니다. 감사합니다.

  10. ted 2017.05.04 13:02  수정/삭제  댓글쓰기

    캐르배르에 감염되었습니다.....
    가족들과 찍었던 10년정도의 모든사진들이 암호화되고 학업과 관련한 중요한 정보들이 전부 암호화됬네요... 당장은 필요하지않으나 소장가치가 매우 큰 것이라 언젠가 나올 복구툴에 기대를 걸고있습니다 복구툴이 나올 가능성이 있을까요??

    • 알약(Alyac) 2017.05.08 08:40 신고  수정/삭제

      안녕하세요. 복구툴이 공개된 케르베르 버전이라면 복구할 수 있으나, 복구툴이 공개되지 않은 업그레이드 된 케르베르 랜섬웨어라면 현재까지는 복호화할 수 있는 방법이 없습니다. ㅠㅠ 말씀하신 것처럼 향후 복구툴이 개발되어 공개될 가능성이 있으니, 중요한 파일이라면 별도로 보관해두시길 권해 드립니다.
      더불어 지금부터라도 꼭 중요한 파일은 백업해두시길 당부 드리며, 자주 사용하시는 SW와 OS는 항상 최신 버전으로 유지해주시기 바랍니다. 감사합니다.

  11. 안상진 2017.05.15 15:33  수정/삭제  댓글쓰기

    정확히 2016.08.03 에 캐르배르에 감염 되었는데요
    D드라이브에 있는 파일 몇개와 다른파일들이 암호화 되고 위에 나와있는 그림처럼 바탕화면이 바뀐적이 있었어요 이후 컴퓨터 포멧해서 쓰고 있었는데 D드라이브에 암호화된 파일이 남아있길래 복구 해보려고 하는데 가능할까요? 확장자는 CERBER 라고만 되어있어요 확장자에 숫자는 붙지 않았구요

    • 알약(Alyac) 2017.05.15 15:40 신고  수정/삭제

      안녕하세요. 현재 Cerber 랜섬웨어 복구툴은 공개되지 않은 점 확인 부탁 드립니다. 기존에 복구된 툴은 공격자가 무력화시켜 더이상 복호화가 불가합니다. 향후 복구툴이 개발되어 공개될 가능성이 있으므로, 중요한 파일의 경우 별도로 보관해두시길 권해 드립니다. 유용한 도움을 드리지 못해 죄송한 말씀 드립니다. 감사합니다.

  12. 엠삼이 2017.05.16 03:25  수정/삭제  댓글쓰기

    저도 케르베르에 걸려 머리가 지끈지끈한 사람들 중 하나입니다. 자료들이 암호화되어 있는데 파일이름들은 전부 10자리로 되어있고 확장명은 a423으로 되어 있습니다. 제가 c d e 드라이브로 분할하고, 그 중 e드라이버 안에 제 인생이 담긴 사진들이 있는데 한순간에 암호화되어서 날아가버렸네요. 전 그 사진을 백업해놓았고 생각해서 랜섬웨어 걸린 파일들을 그냥 삭제를 없앴는데 그제서야 그게 소중한 사진이란걸 알았고 백업하지 않은 제가 한심하기 짝이 없죠. 그래서 recuva란 파일 다시 가져오는 프로그램 이용해서 다시 끄집어 와서 암호화된 파일들을 백업했습니다만 해당 폴더 안에 생성된 readme 가 쓰여 있는 txt 파일의 내용에 글씨가 깨져 있네요. 여기에서 질문하고 싶은 게 있는데 이 readme의 txt파일의 내용이 깨져 있으면 나중에 복호화 하는 데 어려움이 있나요? 아니면 아예 복구가 불가능해져 버리는건가요?

티스토리 방명록 작성
name password homepage