[C드라이브를 전체 복구하는 경우]
1. 자신의 PC에서 암호화된 파일의 확장자를 확인한다(예시: 파일명.prueitfik). 해당 확장자가 안랩이 제공하는 ‘복구가능한 확장자 리스트(하단 표 참조, http://asec.ahnlab.com/1124 )’에 포함될 경우에만 복구가 가능하다(해당 확장자 정보는 지속 업데이트 예정).
*표 1. 4월 2일 기준 복구 가능한 확장자(지속 업데이트 예정)
|
날짜 |
복구 가능한 확장자 |
키 |
벡터 |
|
3월 30일 |
kympzmzw |
Jg5jU6J89CUf9C55 |
i9w97ywz50w59RQY |
|
3월 30일 |
owxpzylj |
u4p819wh1464r6J9 |
mbfRHUlbKJJ7024P |
|
3월 30일 |
prueitfik |
EV8n879gAC6080r6 |
Z123yA89q3m063V9 |
|
3월 31일 |
rwighmoz |
BF16W5aDYzi751NB |
B33hQK9E6Sc7P69B |
|
3월 31일 |
bnxzoucsx |
E88SzQ33TRi0P9g6 |
Bo3AIJyWc7iuOp91 |
|
3월 31일 |
tzdbkjry |
n9p2n9Io32Br75pN |
ir922Y7f83bb7G12 |
|
4월 1일 |
iuoqetgb |
QEsN9KZXSp61P956 |
lM174P1e6J24bZt1 |
|
4월 1일 |
pgvuuryti |
KHp4217jeDx019Uk |
A4pTQ6886b401JR5 |
|
4월 2일 |
zpnjelt |
LyAAS6Ovr647GO65 |
nS3A41k9pccn03J2 |
2. 복구 가능한 확장자일 경우, 안랩이 제공하는 복구툴(MagniberDecryptV1.exe)을 C드라이브에 다운로드 받는다.
*복구툴 다운로드 링크
- 안랩 랜섬웨어 보안센터: http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
- ASEC블로그: http://asec.ahnlab.com/1124
3. cmd 창을 관리자 권한으로 실행한다.
*cmd창 관리자 권한 실행방법: 좌측하단 시작 버튼 -> ‘프로그램 및 파일 검색’에 cmd 입력 -> cmd 아이콘 우클릭 -> 관리자 권한으로 실행 클릭
4. 해당 cmd창에 ‘MagniberDecryptV1.exe’를 먼저 입력한다. 이어서 안랩이 제공하는 표(‘표 1. 4월 2일 기준 복구 가능한 확장자’ 참고, http://asec.ahnlab.com/1124 )에서 자신이 암호화된 파일의 확장자 열에 있는 키, 벡터 정보를 확인한다. 이후 cmd창에 미리 입력한 MagniberDecryptV1.exe 뒤에 ‘/e 해당 확장자 명 /k 키 /v 초기화 벡터’ 3가지 항목값을 입력하고 엔터를 누른다(띄어쓰기도 지켜야 함).
예시) MagniberDecryptV1.exe /e prueitfik /k EV8n879gAC6080r6 /v Z123yA89q3m063V9
그림1. C드라이브에 대한 복구툴 실행화면
5. 복구 완료
[특정 드라이브(외장하드, 파티션 등)를 지정해 전체 복구하는 경우]
1. 암호화된 파일의 확장자를 확인한다(ex. 파일명.afseslnoy). 해당 확장자가 안랩이 제공하는 ‘복구가능한 확장자 리스트( http://asec.ahnlab.com/1124 )’에 포함될 경우에만 복구가 가능하다(해당 확장자 정보는 지속 업데이트 예정).
*표 1. 4.2일 기준 복구 가능한 확장자(지속 업데이트 예정)
|
날짜 |
복구 가능한 확장자 |
키 |
벡터 |
|
3월 30일 |
kympzmzw |
Jg5jU6J89CUf9C55 |
i9w97ywz50w59RQY |
|
3월 30일 |
owxpzylj |
u4p819wh1464r6J9 |
mbfRHUlbKJJ7024P |
|
3월 30일 |
prueitfik |
EV8n879gAC6080r6 |
Z123yA89q3m063V9 |
|
3월 31일 |
rwighmoz |
BF16W5aDYzi751NB |
B33hQK9E6Sc7P69B |
|
3월 31일 |
bnxzoucsx |
E88SzQ33TRi0P9g6 |
Bo3AIJyWc7iuOp91 |
|
3월 31일 |
tzdbkjry |
n9p2n9Io32Br75pN |
ir922Y7f83bb7G12 |
|
4월 1일 |
iuoqetgb |
QEsN9KZXSp61P956 |
lM174P1e6J24bZt1 |
|
4월 1일 |
pgvuuryti |
KHp4217jeDx019Uk |
A4pTQ6886b401JR5 |
|
4월 2일 |
zpnjelt |
LyAAS6Ovr647GO65 |
nS3A41k9pccn03J2 |
2. 복구 가능한 확장자일 경우, 안랩이 제공하는 복구툴(MagniberDecryptor.exe)을 C드라이브에 다운로드 받는다.
*복구툴 다운로드 링크
- 안랩 랜섬웨어 보안센터: http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
- ASEC블로그: http://asec.ahnlab.com/1124
3. cmd 창을 관리자 권한으로 실행한다.
*cmd창 관리자 권한 실행방법: 좌측하단 시작 버튼 -> ‘프로그램 및 파일 검색’에 cmd 입력 -> cmd 아이콘 우클릭 -> 관리자 권한으로 실행 클릭
4. 해당 cmd창에 ‘MagniberDecryptV1.exe’를 먼저 입력한다. 이어서 그 뒤에 복호화 할 특정 드라이브 위치를 입력해준다( 예: E드라이브의 경우 /d “E:\\” ), 그 뒤에 안랩이 제공하는 표(‘표 1. 4.2일 기준 복구 가능한 확장자’ 참고, http://asec.ahnlab.com/1124 )에서 자신이 암호화된 파일의 확장자 열에 있는 키, 벡터 정보를 확인 후 ‘/e 해당 확장자 명 /k 키 /v 초기화 벡터’ 3가지 항목값을 입력하고 엔터를 누른다(띄어쓰기도 지켜야 함).
예시) MagniberDecryptV1.exe /d “E:\\” /e prueitfik /k EV8n879gAC6080r6 /v Z123yA89q3m063V9
그림2. E드라이브에 대한 복구툴 실행화면
5. 복호화 완료
[위 두 가지 사용법으로 복구가 되지 않는 경우]
1) 자신의 PC에서 암호화된 파일의 확장자가 ‘복구 가능한 확장자’인지 다시 한번 확인(지속 업데이트 예정)
2) 안랩의 상세내용 포스팅(http://asec.ahnlab.com/1124)중 ‘단일 파일에 대해 복구할 경우’ 및 ‘폴더에 대해 전체 복구할 경우’ 참조
['Magniber(마이랜섬)랜섬웨어']
국내를 타깃으로한 랜섬웨어. 매그니튜드익스플로잇킷(Magnitude Exploit Kit)을 이용한 마이랜섬은 사용자의 컴퓨터에 설치된 익스플로러(IE), 자바(JAVA), 플래시(Flash) 등의 취약점을 악용해 랜섬웨어를 설치하고 컴퓨터의 파일을 암호화한 후 해독키를 제공하는 대가로 금전을 요구한다. 특히 마이랜섬은 파일을 암호화하기 전에 해당 PC의 언어가 한국어 환경(윈도우 버전)인지를 먼저 확인하는데, 한국어일 경우 HWP 문서를 비롯해 800여 종이 넘는 확장자 파일을 암호화 하는 것으로 알려졌다.
'AhnLab News' 카테고리의 다른 글
| 2018.04.05 안랩, 보안관제 고객사 대상 ‘2018 안랩 MSS 보안 전략수립 세미나’ 개최 (0) | 2020.04.29 |
|---|---|
| 2018.04.03 안랩, 클라우드 스토어 ‘씨앗’에 ‘안랩 클라우드 보안관제 서비스’ 등록 (0) | 2020.04.29 |
| 2018.03.30 안랩 V3, ‘AV-TEST’ PC부문에서 만점으로 인증획득 (0) | 2020.04.29 |
| 2018.03.28 안랩, ‘혁신을 낳는 시행착오의 축적’ 이정동 교수 초청 특강 진행 (0) | 2020.04.29 |
| 2018.03.23 안랩, 네트워크 파트너 대상 ‘안랩 네트워크 파트너 세일즈 캠프 2018’ 진행 (0) | 2020.04.29 |
