Shade 랜섬웨어 복호화툴 배포

Shade는 2015년 초 등장한 랜섬웨어며 주로 악성스팸이나 취약점악용(exploit kit)을 통해 배포된다. 취약점악용의 경우 피해자가 감염된 웹사이트를 방문하기만 하면 되고 별도로 어떤 파일을 여는 과정이 불필요하기 때문에 특히 위험하다.

Shade가 피해자 시스템 침입에 성공하면 중앙(C&C) 서버로부터 암호화키를 받으며 서버 사용이 불가능할 경우에 대비하여 자체 암호화키도 예비로 보유하고 있다. 이는 랜섬웨어가 일단 침투하고 나면 피해자 컴퓨터에서 인터넷 연결을 끊는다 해도 예정대로 작동할 수 있음을 의미한다. Shade가 암호화할 수 있는 파일유형은 MS오피스 문서, 이미지, 압축파일 등 150종이 넘으며 암호화 과정에서 파일 이름 뒤에 .xtbl 또는 .ytbl 확장자를 추가한다. 암호화가 완료되면 아래와 같이 금전지급 요구가 화면에 표시된다. 한편 Shade는 암호화를 끝내고 나서도 다른 맬웨어를 다운받는 등 지속적으로 활동한다

카스퍼스키는 네덜란드경찰, 유로폴, 인텔시큐리티(Intel Security)와 연합하여 랜섬외어 복호화툴을 모으고 배포할 목적으로  NoMoreRansom.org라는 웹사이트를 개설했다. 이번에 사이트 개설과 함께 Shade 랜섬웨어 복호화툴이 추가됐으며 사용방법은 다음과 같다.

1. NoMoreRansom.org 방문

2. 인텔시큐리티 또는 카스퍼스키 측 다운로드 링크 선택 (이하 내용은 카스퍼스키 복호화툴 기준으로 작성)

3. ShadeDecryptor.zip 압축 풀고 ShadeDecryptor.exe 실행

4. 실행창에서 Change parameters 클릭

5. 암호화파일을 스캔할 드라이브 선택

6. Delete crypted files after decryption은 복호화가 끝나고 나서 암호화된 파일을 자동 삭제하는 옵션이지만 파일이 완전히 복구됐는지 확신할 수 없다면 이 옵션은 권장하지 않는다.

7. OK를 선택하여 실행창으로 돌아오고 Start scan 클릭

8. Specify the path to one of encrypted files 창에서 암호화된 파일 하나를 선택하고 Open 클릭

9. 만약 피해자의 ID를 자동 탐지할 수 없다는 메시지가 뜬다면 금전지급요구와 피해자 ID가 기재된 readme.txt로 파일경로를 지정하면 된다.

<참고: 카스퍼스키 안티바이러스 상세정보>

Alex Drozhzhin, No More Ransom, 7. 25. 2016.

https://usblog.kaspersky.com/shade-decryptor/7441/

번역⋅요약: madfox

참고링크 

<유료안티바이러스 제품소개>