네덜란드의 국가 기술 범죄수사대(The National High Tech Crime Unit)와 카스퍼스키 랩이 랜섬웨어와의 전쟁에서 승리했습니다. 지난 2014년 5월 카스퍼스키는 CoinVault의 최초 버전을 발견하였으며, 네덜란드 경찰청과 NHTCU와 함께 악성코드 샘플을 조사하고 결과를 공유하였습니다. 그 결과, NHTCU와 네덜란드 경찰청은 CoinVault C&C 서버 데이터베이스를 확보할 수 있었습니다. 발견된 데이터베이스에는 초기화 벡터, 복호화키, 개인 비트코인 지갑이 있었으며, 카스퍼스키랩과 NHTCU가 공동으로 노력한 끝에 랜섬웨어 복호화툴을 개발하는데 성공했습니다.


  2015년 4월부터 총 14000개 이상의 복호화키가 데이터베이스에 추가되었으며, 10월 28일에 모든 Coinvault와 Bitcryptor 키가 추가되었습니다. 이로써 Coinvault 랜섬웨어의 범죄는 막을 내리게 되었으며, 용의자들도 검거되었습니다. 네덜란드 경찰과 카스퍼스키랩, Panda Security가 함께 조사와 수사한 덕에 비교적 손쉽게 새로운 유형의 범죄를 처단할 수 있었습니다.


  랜섬웨어(Ransomware)는 몸값을 뜻하는 Ransom과 제품을 뜻하는 ware의 합성어로 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자 파일을 암호화한 뒤 돌을 요구하는 악성프로그램을 말합니다.


  알려진 유형으로 이메일과 IM(Instant Message), 웹사이트 링크 등을 클릭할 때 설치되며, PC에 저장된 거의 모든 문서와 중요한 파일(xls, doc, pdf, jpg, cd, rar, zip, mp4, png, psd 등)을 암호화해 열지 못하도록 한 뒤, 비트코인 등의 수단으로 돈을 요구하였습니다. 한때 유명했던 Cryptolocker 등의 대부분은 웹을 기반으로 하기 때문에 체포가 쉽지만 그 주소를 추적하는데 걸리는 시간때문에 추적이 어렵다고 합니다.


  앞서 나열한 파일 확장자를 보시면 알 수 있듯이 치명적인 시스템파일이 아닌 개인 문서파일을 대상으로 하고 있어, 직장에서 월급루팡을 하다가 회사업무를 마비시킨 뒤, 돈을 뜯어내는 돈냄새를 맡을 줄 아는 녀석들이었습니다.


  하지만 Coinvault만을 대상으로 하고 있어 국내 피해가 가장 막심했던 크립토라커에는 별 효용이 없다는 점에서 국내사용자들은 이 혜택을 보기가 힘들다는 것입니다.



(Link: https://noransom.kaspersky.com/ )



랜섬웨어에 감염되었을 때 카스퍼스키 어플리케이션을 사용하기 위한 절차는 다음과 같습니다.

https://noransom.kaspersky.com/static/CoinVault-decrypt-howto.pdf )


Step1. Coinvault를 제거하세요.


카스퍼스키 인터넷 시큐리티 체험판을 설치하여 Coinvault를 제거합니다.


Stpe2. 복호화 툴을 설치하세요


카스퍼스키 랜섬웨어 대응 페이지 (Link: https://noransom.kaspersky.com/ ) 에서 복호화 툴을 설치하세요.


Step3. 암호화된 파일의 리스트를 제출하세요


다운받은 툴을 실행하여 PC 검사(Start Scan)를 진행합니다. 검사 후 파일 선택 창에서 반드시 "filelist.cvlst"를 선택하셔야 합니다. Coinvault 감염 후 남겨지는 파일이 "filelist.cvlst" 입니다. 만약 이파일이 없다면 Step 4로 넘어가세요.


{Optional - "filelist.cvlst"파일이 없을 경우

Step4. 한 폴더에 모든 감염된 파일을 이동시키세요


"filelist.cvlst" 파일을 찾을 수 없다면 복호화를 위해 한 폴더에 감염된 모든 파일을 옮기셔야 합니다. 그래야 이 유틸리티가 폴더안의 모든 파일들을 암호화되었다고 판단하고 복호화를 시작할 것입니다. 이 모드를 실행시키기 위해서는 메인화면의 "Change Parameters" 버튼을 클릭하여 "Folder with encrypted files" 옵션을 활성화 해주셔야 합니다.

}


Step5. 파일을 복호화하세요


Kaspersky Coinvault decryptor는 암호화된 파일을 키 검색을 위해 검색하고 각 Coinvault 키가 당신의 개인키와 일치할때 까지 시도할 것입니다. 그리고 앞서 제공된 파일리스트를 복호화 할 것입니다.


자동으로 어플리케이션은 복호화된 파일의 이름에 "decryptedKLR"을 추가할 것입니다.


ex) somfiles.doc -> somfiles.decryptedKLR.doc


이것은 잘못된 파일 핸들링으로 부터 추가보호하기 위한 것입니다. 파일에 추가 없이 새로운 백업 카피를 원한다면 "Change Parameters"에서 추가로 선택하시면 됩니다.

이 옵션을 선택하면 원래의 이름으로 복호화 될 것입니다.



+ Recent posts