게시된 프로그램은 방법만 제시할 뿐 복호화되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다. 프로그램 사용 전, 감염된 랜섬웨어가 지원되는 프로그램인지를 확인하시고, 반드시 복사본으로 시도하시기 바랍니다.
Avast released a free decryptor for TargetCompany ransomware
체코의 사이버 보안 소프트웨어 회사인 Avast가 TargetCompany 랜섬웨어의 피해자가 특정 상황에서 파일을 무료로 복구할 수 있는 복호화 툴을 공개했습니다.
전문가들은 암호 해독기가 암호를 알아내기 위해 프로세서의 컴퓨팅 성능 대부분을 소비하기 때문에, 크래킹 프로세스가 최대 수십 시간이 걸릴 수 있다고 밝혔습니다.
사용자는 복호화 툴을 통해 진행 상황을 주기적으로 저장하고 암호 해독 프로세스를 중단 및 이전에 진행된 크래킹 프로세스를 재개할 수 있습니다.
Avast는 관련하여 아래와 같이 설명했습니다.
“암호를 크래킹하는 동안 사용 가능한 모든 프로세서 코어는 대부분의 컴퓨팅 성능을 사용할 것입니다. 크래킹 프로세스에는 최대 수십 시간이 소요될 수 있습니다.”
"복호화 툴은 주기적으로 진행 상황을 저장하며, 이를 중단하고 나중에 다시 시작할 경우 이전에 시작된 크래킹 프로세스를 재개할 수 있습니다.”
복호화 과정은 PC당 한 번 필요하며, 각 파일마다 반복할 필요는 없습니다.
TargetCompany 랜섬웨어용 복호화 툴은 Avast의 서버에서 다운로드가능하며, 사용자는 간단한 인터페이스를 통해 복호화 프로세스를 알아낼 수 있습니다.
“마지막 마법사 페이지에서 암호화된 파일을 백업할지 여부를 선택할 수 있습니다. 백업 할 경우 복호화 프로세스 중 문제가 발생할 경우 도움이 될 수 있습니다. 이 옵션은 기본적으로 켜져 있기 때문에 사용할 것을 권장합니다.”
TargetCompany는 2021년 6월부터 활동을 시작했으며, 파일을 암호화한 후 파일 이름에 .mallox, .exploit, .architek, .brg와 같은 확장자를 추가합니다.
다른 랜섬웨어와 마찬가지로, TargetCompany는 모든 드라이브에서 섀도 복사본을 제거하고 데이터베이스를 포함한 중요한 파일이 오픈되도록 하는 일부 프로세스를 종료합니다.
암호화 프로세스가 완료되면, 암호화를 진행한 모든 폴더에 "HOW TO RECOVER !!.TXT"라는 랜섬노트 파일을 드롭합니다.
이 외에도 Avast는 지난 몇 달 사이 Babuk, AtomSilo, LockFile 랜섬웨어를 비롯한 다른 랜섬웨어용 무료 해독기를 출시했습니다.
출처:
https://securityaffairs.co/wordpress/127761/malware/targetcompany-ransomware-decryptor.html
https://decoded.avast.io/threatresearch/decrypted-targetcompany-ransomware/
랜섬웨어는 이용자의 컴퓨터, 휴대전화 등을 잠그거나 파일을 암호화하는 악성 프로그램입니다.
해커들은 이 파일들을 복원시킬 수 있는 복호화키를 빌미로 돈을 요구합니다.
랜섬웨어 감염시 원칙적으로 해커에게 돈을 지불해서는 안됩니다.
비용을 지불한다고 해서 암호를 해제해줄 복호화 키를 받는다는 보장이 없고,
오히려 해커에게 랜섬웨어가 잘 동작한다는 사실만 확인시켜줄 뿐입니다.
아래 사이트는 랜섬웨어에 감염된 파일을 업로드해 복호화시켜주는 소프트웨어를
찾아주는사이트입니다.
저 또한 랜섬웨에 걸린적있고 암호화된 일부 파일들이 일부 남아있어 테스트 겸
실질적으로 복호화되는지 테스트를 해보았습니다.
https://www.nomoreransom.org/crypto-sheriff.php?lang=ko
랜섬웨어 해결사 | The No More Ransom Project
여러분의 디바이스에 영향을 미친 랜섬웨어의 종류를 특정하기 위해, 아래의 양식을 작성해주세요. 이를 통해 가용한 복구프로그램이 있는지 확인해드릴 수 있습니다. 만약 가용한 솔루션이 있
www.nomoreransom.org
일단 위사이트에 접속한 후 'PC에서 첫번째 파일 선택'을 클릭해
랜섬웨어에 감염된 파일을 업로드해줍니다.
저의 경우는 access.php라는 감염된 파일을 올렸습니다.
그리고 '확인하기'를 클릭해줍니다.
검사결과 Avaddon이라는 랜섬웨어에 걸렸다고 나옵니다.
그리고 랜섬웨어를 해결할 수 있는 소프트웨어와 매뉴얼이 나옵니다.
저는 일단 첫번째 다운로드인 비트 디펜더를 다운받았습니다.
프로그램을 실행시킨후 'I agree with the terms of use'에 체크하고 CONTINUE를 클릭합니다.
'Scan entire system'에 체크하고 하단의 'START TOOL'을 클릭하면 컴퓨터의 감염된 파일을
스캔하며, 화면 중간에 'BROWSE'를 클릭해 특정폴더를 선택할 수 도 있습니다.
실패라고 나오네요.
그럼 아까 나왔던 두번째 파일로 시도해보겠습니다.
Emsisoft에서 만든 decrypt_Avaddon이라는 파일입니다.
이 프로그램도 드라이브 전체 스캔 또는 아래 'Add folder'를 클릭해 특정폴더를 지정해줄수도 있습니다.
검색할 폴더를 지정한 후 오른쪽 하단의 'Decrypt'를 클릭하면 됩니다.
그러면 아래와 같이 암호화된 파일을 스캔합니다.
이 프로그램도 역시 에러라고 나오면서 복구가 되지 않습니다.
일부 랜섬웨어들은 복구되기도 하나 대부분의 파일들은 복구되지 않는경우가 많습니다.
위의 방법과 같이 시도해보아도 파일이 복원되지 않는다면 방법은 거의 없다고 봐도 무방합니다.
이럴 경우는 어쩔수 없이 포기하거나 또는 나중에라도 암호화를 해제시킬 프로그램이 나올 경우를
대비해 암호화된 파일들은 따로 백업을 해두는 방법밖에 없습니다.
복구업체에 맡기시더라도 대부분 위와 같은 방법으로 복구를 시도하기에
성공할 확률이 높지 않습니다.
이미 잃은 소는 찾을수 없기에 외양간이라도 고쳐야 다음에 이런 상황을 모면할 수 있습니다.
중요한 파일들은 항상 다른 저장매체에 백업하시는게 제일 중요하며
또한 랜섬웨어에 감염되지 않는 알집의 alz , egg 포맷으로 파일을 압축해놓으면
랜섬웨어로부터 안전합니다.
또는 파일의 확장자를 바꾸어 놓아도 감염되지 않는 경우가 많습니다.
예를 들어 파일명.hwp를 파일명.hhh 로 바꾸어 놓는식입니다.
사용할 때는 다시 hwp로 바꾸면 됩니다.
저의 경우 랜섬웨어 방지기능이 있는 백신이 깔려있으며 정상적으로 작동되고 있는 상황에서도
랜섬웨어에 감염이 되었습니다.
백신이 만능이 아니라는 점을 알아두셔야 됩니다.
또한 가장 중요한 건 첫째도 백업, 둘째도 백업이라는 점 잊지 마시길 바랍니다.
