이제 카스퍼스키랩의 툴을 이용하면 CryptXXX에 감염된 경우에도 대가를 지불하지 않고 안전하게 파일을 복구할 수 있게 됐다. 단, 카스퍼스키랩 유틸리티로 감염된 파일을 복호화하려면 CryptXXX로 감염된 파일 중 적어도 하나 이상은 암호화되지 않은 원본 버전이 있어야 한다.
카스퍼스키랩의 선임 악성 코드 분석가인 페도르 효도르 시니친(Fedor Sinitsyn)이 CryptXXX로 암호화된 파일을 복구하는 복호화 도구를 개발하는 성과를 거뒀다고 밝혔다. 주로 윈도 기기를 목표로 하는 CryptXXX 랜섬웨어는 파일을 잠그고 데이터를 복사해 비트코인을 탈취한다.
CryptXXX 랜섬웨어는 감염됨 첨부 파일이나 악성 웹사이트 링크가 포함된 스팸 메일을 통해 인터넷 사용자에게 유포되며, Angler 익스플로잇 키트(EK)라는 악성 도구를 호스팅하는 웹 페이지를 통해서도 유포된다. CryptXXX가 실행되면 감염된 시스템의 파일이 암호화 되고 파일 이름에 .crypt 확장명이 추가된다. 강력한 암호화 알고리즘인 RSA-4096을 통해 파일이 암호화됐다는 알림이 피해자에게 나타나고 데이터를 복구하려면 비트코인을 대가로 지불하라는 요구가 전달된다.
현재 활동 중인 랜섬웨어군은 50종 이상인데, 이러한 공격이나 피해에 대응하기 위한 단일 범용 알고리즘은 하나도 없는 상태이다. 그러나 CryptXXX의 경우 RSA-4096에 대한 범죄자들의 주장은 단지 허풍에 불과한 것으로 드러났으며 카스퍼스키랩에서 복호화 도구를 개발할 수 있었다고 카스퍼스키랩은 전한다.
한편 랜섬웨어 감염을 예방하고 피해를 줄이기 위해서는 정기적으로 데이터를 백업하는 것이 중요하다. 또 OS와 브라우저의 중요 업데이트를 모두 설치해야 한다. CryptXXX가 사용하는 Angler 익스플로잇 키트는 소프트웨어의 취약점을 활용해 랜섬웨어를 다운로드해 설치하기 때문이다.
