[참고!] 먼저 글을 시작하시기전에 다른 랜섬웨어 군에 대해서는 아래의 링크 글을 참고 하시길 바랍니다.
1. Cryp1으로 변형되는 랜섬웨어는 무엇인가?
최근 랜섬웨어 중 *.cryp1으로 변형되는 랜섬웨어가 퍼지고 감염 및 피해사례가 늘어나고 있습니다.
오유에 랜섬웨어에 감염되었다라는 글의 대부분이 신종 CryptXXX 3.x인것 같습니다.
그런데 cryp1은 cryptXXX의 2.X버전과 3.X버전 둘다 있습니다. 2.X는 카스퍼스키와 안랩에서 이미 복호화툴을 내놓은바있습니다.
CryptXXX 2.X는 *.Crypt와 *.Cryp1 두가지형태였다가 CryptXXX 3.X는 *.Cryp1 으로만 변이가 되는것 같습니다.
현재에는 카스퍼스키와 안랩에서 복호화 툴을 내놓자마자 몇일여만에 한국형 랜섬웨어화가 되어 변종형태의
한글화된 CryptXXX 3.0등이 유포되고 있는 상황입니다.
신종버전에 대하여는 아직까지 복호화 툴이 없습니다. 감염되지 않도록 주의하셔야 합니다.
▲한국어까지 지원되는 한국형으로 변이 되었습니다.
‘크립토락커’, ‘라다만트’ 랜섬웨어에 이어 세 번째로 한글을 지원하는 랜섬웨어로
이전에 등장했던 한글화 랜섬웨어들보다 한글 안내창의 가독성이 매우 증가하였습니다.
복호화를 시도해보시고 난뒤, 안되면 복호화툴이 나올때까지 백업을 하시고 포맷을 필히 하시길 바랍니다.
2. 복호화 방법은?
현재 CryptXXX 2.X는 안랩과 카스퍼스키에서 각각 복호화툴을 내놓은 상황이고
카스퍼스키는 최근까지 업데이트를 마쳤습니다. 그런데 업데이트를 하자마자 몇일 못가서 또 변이 변종된 3.X가 나왔네요?
해당 복호화툴이 꼭 성공한다라는 보장이없으며
원본파일이 크랙현상이 발생할 수 있으므로, 필히, 백업을 하시고 사본파일로 시도 하시길 바랍니다.
또 *.Crpt1으로 암호화 된 경우 Crypt3.x버전일 가능성이 크니 안될가능성도 높습니다.
카스퍼스키랩의 링크에서 RannohDecryptor를 다운로드 하시고 복호화를 시도하시고
안랩은 안랩링크의 설치파일을 실행 하시면 됩니다.
안랩은 카스퍼스키와 달리 *.hwp 한글파일에 대해서도 복호화를 지원한다라고 하니 참고하시길 바랍니다.
안랩에서 복화화 가능한 확장자는 아래와 같습니다.
CHM, AI, HWP, PDB, PDF, RTF, HTM, HTML, PHP, XML, DWG, PS, WSF, KEY, CSR, CRT, WAV, MP3, OGG, WMA, WMV, AVI, ASF, MP4, MOV, MID, MPG, FLV, PNG, GIF, BMP, TIF, JPG, JPEG, ZIP, RAR, BZ2, 7Z, GZ, JAR, APK, TGZ, ODS, DOC, DOT, PPT, POT, PPS, XLS, XLT, DOCX, DOCM, DOTX, DOTM, PPTX, PPTM, POTM, POTX, PPSM, XLSX, XLSB, XLSM, XLTM, XLTX, EPS, ISO, SQLITE3, MDB, MSI, APP, FDB, ACCDB, SLN, CLASS, VCXPROJ
3. 예방 방법은?
CryptXXX는 어도비 플래시의 exploit을 이용해 DLL파일 형태로 유포되고 있습니다.
때문에 가장 빠른 예방법은, "샌드박스"기능이 강화되어있는 "크롬", "파이어폭스"등의 브라우저를 주로 이용해주시고
체크멀 앱체크, 하우리 바이로봇 APT 쉴드와 같은 행위기반을 탐지하여 차단 할 수 있는 보안프로그램를 필히 이용해 주시길 바랍니다.
≪참고자료≫
