ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • AVG 랜섬웨어감염 무료 복호화툴 6종 소개
    카테고리 없음 2016. 7. 7. 15:25
    반응형


    AVG 바이러스연구소는 최근 랜섬웨어

    복호화툴 6종의 무료 배포를 발표했다.

     

    근래 랜섬웨어는 아주 짭짤한 돈벌이로 부상하여 사이버공격 비즈니스모델에서 중요한 비중을 차지하고 있다. 이와 관련하여 AVG는 랜섬웨어 감염을 방지하는 요령 그리고 파일이 감염된 경우의 대처방안을 소개한 바 있는데 여기에서 설명된 내용은 다음과 같다. "상당수의 랜섬웨어 개체군은 암호화 알고리즘에 취약점을 안고 있으며 이를 활용하여 돈을 내지 않고도 파일을 복호화할 수도 있다. 그러한 취약점을 밝혀내고 활용하는 데에는 시간이 걸릴 수 있지만 복구의 여지가 분명 있기 때문에 당장 파일을 삭제하지 않는 게 좋다." 이제 AVG가 새로이 선보이는 복호화툴을 통해 사용자들이 돈을 내지 않고 파일을 복구할 수 있는 길이 열렸다. 하지만 이러한 암호화툴은 파일이 이미 랜섬웨어에 감염된 경우에 사용할 수 있는 최후의 수단이며 AVG 안티바이러스와 같은 솔루션을 통해 사전에 랜섬웨어를 탐지하고 제거할 수 있는 다중보안대책을 갖춰야 할 필요가 있다.


    <참고: 랜섬웨어 차단 AVG 안티바이러스>

     


    랜섬웨어 복호화툴 사용요령

    AVG 무료 복호화툴은 Apocalypse, BadBlock, Crypt888, Legion, SZFLocker, TeslaCrypt 이상 6종 랜섬웨어에 대한 복호화 기능을 제공한다. 복호화툴 사용방법은 다음과 같다.

    1. 감염 PC에 대한 정밀검사 실행

    2. (선택) 암호화된 파일을 다른 PC에서 복호화할 수 있도록 별도 플래시드라이브에 이전

    3. 파일을 감염시킨 랜섬웨어 종류 식별. 각 랜섬웨어에 대한 설명은 이하 내용 참고. 만약 자신의 랜섬웨어 감염양상이 이하의 설명과 일치한다면 해당 랜섬웨어에 대한 툴을 다운받아 실행.

    4. 툴이 실행하는 마법사를 통해 복호화 프로세스를 단계별로 진행.



     

    Apocalypse


    The Apocalypse 랜섬웨어는 암호화시킨 파일에 ".encrypted", ".locked", ".SecureCrypted“라는 확장자를 첨부한다. 그리고 ".How_To_Decrypt.txt", ".README.Txt", ".Contact_Here_To_Recover_Your_Files.txt"라는 확장자를 붙인 파일에 랜섬웨어 메시지를 생성하기도 한다. 이 메시지 내용을 보면 decryptionservice@mail.ru, dr.compress@bk.ru, decryptdata@inbox.ru, recoveryhelp@bk.ru 등의 연락처를 볼 수 있다. 아래 그림을 보면 이들 연락처로 연락하지 않으면 암호화된 파일을 영영 복구할 수 없다는 식의 메시지를 볼 수 있다.



    Apocalypse 구형버전 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_Apocalypse.exe

    Apocalypse 최신버전 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_ApocalypseVM.exe


     

    BadBlock


    BadBlock은 암호화시킨 파일의 이름을 변경하지는 않으며 "Help Decrypt.html"이라는 이름의 랜섬웨어 메시지와 아래 그림과 같이 랜섬웨어 메시지를 띄우는 빨간 창을 통해 BadBlock 랜섬웨어를 식별할 수 있다.



    BadBlock 복호화툴

    http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock32.exe

    http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock64.exe


     

    Crypt888


    Crypt888Mircop라고도 알려져 있으며 파일 접두어 "Lock."을 붙여 파일을 암호화시킨다. 또한 피해자의 배경화면을 아래와 같은 이미지로 변경시킨다.



    Crypt888은 그 구조의 특성상 제작자 측이 제공하는 복호화툴이 작동하지 않을 수도 있기 때문에 제작자 요구대로 돈을 지불한다 g도 일부 파일이나 폴더를 복구하지 못할 위험이 있다.


    AVG 제공 Crypt888 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_Crypt888.exe


     

    Legion


    Legion은 암호화시킨 파일에 "._23-06-2016-20-27-23_$f_tactics@aol.com$.legion"과 같은 식의 확장자를 붙인다. 또한 아래 그림과 같이 피해자의 배경화면을 변경하고 암호화된 파일에 대한 알림을 띄운다.



    Legion 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_Legion.exe

     

    주의: 위와 유사한 ".centurion_legion@aol.com.xtbl"이라는 확장자를 붙여 파일 이름을 변경시키는 랜섬웨어는 Legion 랜섬웨어와는 전혀 다른 종으로 위 복호화툴로는 복구가 불가능하다.


     

    SZFLocker


    SZFLocker는 암호화시킨 파일에 e.g. example.docx.szf와 같이 확장자를 붙인다. SZFLocker는 원래 파일을 다시 작성하면서 다음과 같이 폴란드어로 된 메시지를 띄운다.



    SZFLocker 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_SzfLocker.exe


     

    TeslaCrypt


    AVG 제공 Teslacrypt 복호화툴은 TeslaCrypt v3 v4 버전으로 암호화된 파일에 대한 복호화를 제공한다암호화된 파일은 .vvv, .micro, .mp3 또는 별도의 고유명칭 등 다양한 확장자를 가지게 된다. 또한 아래와 같은 메시지가 E뜬다.



    TeslaCrypt 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_TeslaCrypt3.exe

     



    Jakub Kroustek, Don’t pay the Ransom! AVG releases six free decryption tools to retrieve your files, 6. 24. 2016.

    http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/

     

    번역요약: madfox




    참고링크 


    <유료안티바이러스 제품소개>

    반응형

    댓글

Designed by Tistory.