PETABYTE

랜섬웨어복구방법 (Locky(.zzzzz)/Locky(.aesir)]

현재 유행하고 있는 랜섬웨어 Locky(.zzzzz) 와 Locky(.aesir) 의 경우

연혁

• 2016년 2월 Locky​​​(.locky)

• 2016년 6월 Locky​​​(.zepto)​

• 2016년 9월 Locky​​​(.odin)​​

• 2016년 10월 Locky​​​(.shit)​​​

• 2016년 10월 Locky​​​(.thor)​​

• 2016년 11월 Locky​​​(.aesir)​​​

• 2016년 11월 Locky​​​(.zzzzz)​​​​

이렇게 진화해 왔으며 악명높게도 PC의 구성까지 모두 깨트려 윈도우 진입이

불가한 경우도 있습니다.

인터넷에서 돌고있는 랜섬웨어 복구 업체의 99%는 모두

본인의 기술이 아닌 비트코인 대행 입금업체들이며 이들은

본인들의 기술로 해독된것처럼 말하지만. 실제로는 해커에서

비트코인을 입금하고 해커로부터 받은 해독키값으로 해독한후 감염자에게

고액의 이득을 챙기는 업체들입니다.

관련기사 : http://news1.kr/articles/?2811710

이들에게 현혹되지 마시고 랜섬웨어를 복구하는방법 오로지 2가지 뿐입니다.

1. 해커에서 비트코인을 입금한후 해커로부터 해독 파일을 받는다.

2. 해커가 마스터 키 값을 공개할때 (해커가 검거되거나 본인의지로 공개) 까지

   해당파일을 보관하고 있는다.

이 두가지 방법 뿐입니다.

본인이 어느정도 비트코인에 관한 지식이 있다면 구매하여 직접 진행하는것이

가장 저렴하고 확실한 방법입니다.

필자는 본업이 따로 있고 이렇게 부당한 업체로부터 당하는 피해자들이 없기를

바라는 심정에서 해당 글을 올리는 것이며.

현재 복구할수 있는 최소의 금액은 1.0BTC 886.000 원정도이며 이는 환전&이체

수수료가 제외된 금액입니다. BTC 의 경우 가격이 지속적으로 오르고 있으니

해당자료가 88만원정도의 값어치를 투자할수

없는 자료일경우 상기의 2번방법을

택하신후 여유롭게 기다리셔야 하며 만약 해당금액이상의 값어치가 있다면

반드시 감염후 3일이내에 진행하셔야 함을 명심하시기 바랍니다.

감염후 4일이 지나면 금액은 2배가 되며

30일이후는 영영 복구 불가하게 됩니다.

비트코인을 대행하여 해결하는 방법의 도움이 필요하신분은

하기의 메일로 연락주시기 바랍니다.

메일은 실시간으로 확인하니 바로 답을 드릴수 있습니다.

문의 메일주소 : 7petabyte@gmail.net   // 또는 카카오톡 7petabyte 입니다.

연락처는 공개하였으나 문의 전화가 너무 많아 제 현업에 지장을 주기에

메일과 카카오톡내용을 확인후 연락드립니다.

각종 랜섬웨어 복호화 방법 ( Ransomware File Decryptor )-TrendMicro

트렌드 마이크로(TrendMicro)에서 각종 랜섬웨어에 감염된 데이터에 대해 복호화가 가능한 프로그램을 공개하였습니다.

이에 랜섬웨어 침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

본 과정은 아래 작성된 랜섬웨어만 적용되며, 이외에 다른 랜섬웨어에는 적용되지 않습니다.

복구 가능한 확장자(아래 표)가 아니거나 조건에 부합되지 않는 경우 복원되지 않으므로 진행 전 절차내용을 숙지하시기 바랍니다.

본 과정은 트렌드마이크로에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.

( 출처 및 복호화 프로그램 다운로드 : https://success.trendmicro.com/solution/1114221 )

​ 복호화 가능 랜섬웨어 종류 및 확장자

* - CryptXXX V3 암호 해독은 전체파일을 복구할 수 없습니다. ( 부분 데이터 암호 해독 ) 

** - TeslaCrypt V1 및 V2의 경우  TeslaCryptDecrypter 의 1.0.xxx의 MUI를 사용하세요. 

다운로드페이지 접속 후 위 버튼 클릭

+++ CERBER V1 참고사항

케르베르는 암호 해독 과정에서 해당 pc의 첫 감염 파일을 요구할 수 있으므로 반드시 감염된 PC에서 진행해야 합니다. 

케르베르를 복호화 하는 메소드로 인해 진행 시간이 몇 시간이 걸릴 수 있습니다. (인텔 i5 dual core 기준 평균 4시간)

해당 랜섬웨어는 암호화 과정이 매우 복잡하기 때문에 복호화 성공 확률이 낮습니다.

다른 유사한 랜섬웨어처럼 파일이 부분적으로만 해독 될 수 있으며, 이후 추가적으로 복구가 필요할 수 있습니다.

​ 복호화 진행절차  

1. RansomwareFileDecryptor 1.0.1639 MUI.exe​ 다운로드   

RansomwareFileDecryptor 1.0.1639 MUI.exe 다운로드

 → 트렌드마이크로에서​ 공개한 복호화 프로그램 다운로드

홈페이지 접속 후 아래 버튼 클릭

2. 랜섬웨어 감염파일 복사본 생성​

3. RansomwareFileDecryptor 1.0.1639 MUI.exe​ 실행​

→ 동의(Agree) 버튼을 클릭하여 프로그램을 실행합니다.

 → 선택(Select) 버튼을 클릭하여 복호화 하고자 하는 랜섬웨어 종류를 선택합니다.

→ 랜섬웨어 종류를 선택한 후 OK 버튼을 클릭하여 파일 스캔을 진행합니다.

  (어떤 랜섬웨어에 감염되었는지 모를 경우 "I don't know the ransomware name" 을 클릭하여 복호화하고자 하는 파일을 첨부합니다.)

→ 파일 그림의 버튼을 클릭하여 암호화된 파일을 불러옵니다.​ ​

 → 암호화된 파일(복사본)을 선택한 후 열기 버튼을 클릭합니다.

​ ​

 → 첨부된 파일을 확인한 뒤 다음(Next) 버튼을 클릭합니다.

​ ​

 → 자동으로 랜섬웨어 종류가 등록됩니다.​ ​

 → 선택 & 복호화(Select & Decrypt) 버튼을 클릭하여 복호화 할 파일의 위치를 지정합니다.

 → 파일 혹은 파일 위치 선택 후 확인 버튼을 클릭합니다.

→ 선택한 파일 및 파일 위치를 스캔하여 암호화 된 파일들을 스캔합니다. 

  파일 크기에 따라 10분에서 30분정도 소요됩니다. ( 파일 크기가 클 경우 더 오래걸릴 수 있음.)

→ 스캔이 완료 (Scan Completed) 되며 Decrypted file이 자동으로 해당 파일에 생성됩니다.

완료(Done)을 클릭하여 작업을 마칠 수 있습니다.

→ 복호화 프로그램 실행 전 과 후 입니다. 암호화 된 파일이 복호화되어 원본 파일과 _fixed 파일이 생성되었습니다.

최근 유행하는 랜섬웨어 crypt 3.0 의 경우 해커에게 비용을 입금하고도

복호화가 불가능한경우가 많이 있습니다.

이미 해커에게 비용을 입금하였다면 도움드릴수 있으니 연락주시기 바랍니다.

crypt 랜섬바이러스 error = -4 오류 의 경우는 암호가 다르기때문에 나오는

오류이며 복구확률이 높은 편입니다.

최근들어 crypt 3.0 의경우 해커에게 비트코인을 입금하고도 실패하는 경우가 있습니다.

이미 해커에게 비용을 입금하였고 암호화키를 받았는데 암호화키로 진행이 불가하신

분께서는 연락주시면 도움 드리도록 하겠습니다.

국내에 많은 피해를 입힌 테슬라크립트 랜섬웨어개발자가 마스터키를 공개했습니다.　　　　　　　　　　　　　　　　　

　　　　　　　　　　　　               <결재 관련 페이지 접근시 보여지는 화면>  

마스터키 : 440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

해당 마스터키를 이용하면 테슬라 크립트 계열의 암호화된 파일을 복호화 할 수 있습니다.
파일 확장자가 ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, xxx, ttt, micro, mp3 이거나 확장자 미변조 테슬라계열일 경우 대부분 복호화가 가능합니다.

또한 테슬라크립트 전문가인 BloodyDolly가 사용하기 편리한 복호화 툴을 개발하여 공개하였습니다.   

TeslaDecoder 다운로드

아래는 툴을 사용하여 복호화 하는 방법입니다.  

※ 주의 : 해당 내용 및 첨부파일은 참고 자료일 뿐 다운로드 및 사용 등은 개인이 스스로 판단해서 진행해야 하는 부분이므로 진행 중 발생할 수 있는 데이터 손실 등의 피해에 대한 책임은 진행한 개인에게 있습니다.

[진행방법]
1. 먼저 다운로드 받은 파일의 압축을 푼 뒤, TeslaDecoder.exe 파일을 실행시킵니다.

2. Set Key버튼을 클릭하고 자신이 감염되었던 랜섬웨어 파일 확장자를 선택합니다. 파일 확장자가 그대로인 경우 (as original)을 선택하세요.

 

3. 원하는 확장자를 선택한 후 Set Key 버튼을 선택해주세요. 

4. Decrypt folder 버튼을 눌러 랜섬웨어로 변조된 파일이 있는 폴더를 선택해 주거나 Decrypt all 버튼을 눌러 전체 암호화 파일에 대한 복호화를 진행할 수 있습니다.

5. 파일을 복호화 하는 과정에서 암호화된 파일을 삭제할지 여부를 선택할 수 있습니다. 삭제를 할 경우 복호화 진행중에 문제가 생겼을 경우 다시 시도할 수 없기 때문에 하드디스크의 여유공간이 있다면 가급적 아니오를 선택하세요.

6. 복호화가 완료된 파일의 모습입니다. mp3로 암호화 되었던 JPG이미지 파일이 원래대로 돌아왔습니다.

해당 복호화 프로그램을 사용하여도 복호화가 정상적으로 이루어 지지 않을 수 있습니다. 

이 경우 랜섬웨어가 테슬라크립트 계열이 아니거나, 위에 언급한 마스터키에 해당하지 않는 버전일 수 있습니다.
해커가 무료로 마스터키를 배포하는 상황을 보면서 일단 암호화되서 안풀리는 파일이 있더라도 보관하는 것이 좋을 것 같습니다.
 

[출처]

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

해당해독키는 crypt를 지원하지 않습니다.

crypt 랜섬웨어에 관련되어 카스퍼스키가 복구툴을 공개하였습니다.

실제 crypt걸린 몇몇파일들을 추출하여 복구 실행하였을때 약20% 파일들이

복구에 성공하였습니다.

글로벌 보안 업체인 카스퍼스키 랩(Kaspersky Lab)에서 CryptXXX 랜섬웨어를 복호화 하는 프로그램를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

본 과정은 CryptXXX(.crypt)만 적용되며, 이외에 다른 랜섬웨어는 적용되지 않습니다.
암호화된 파일과 원본파일을 통해 키를 추출하여 복호화하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다. 
본 과정은 카스퍼스키 랩에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.  

(출처: http://support.kaspersky.com/viruses/utility)

​ 복호화 진행절차

 1. 바탕화면에 decrypt 폴더 생성

2. RannohDecryptor 다운로드

→ http://support.kaspersky.com/viruses/utility​ 접속 후 RannohDecryptor Version 1.9.0.0 EXE 파일 다운로드

→ 사용자 라이센스 동의창이 뜨며, 프로그램은 영구적으로 제공하지만 해당 프로그램에 대한 기술지원과 책임은 

지지 않겠다라는 내용과 프로그램 수정 및 분석 등으로 권리를 침해하면 안된다라는 내용이 명시되어 있습니다.

→ 사용자 라이센스 동의 내용에 동의할 경우 I accept the terms in End User Agreements(사용자 라이센스 동의) 

항목에 체크 후 활성화된 Download 클릭

→ 다운 받은 rannohdecryptor.exe 파일을 저장하여 바탕화면 decrypt 폴더로 이동

3. 복호화 시 필요한 원본/감염 파일 가져오기​

→ crypt로 확장자가 변조된 파일과 같은 원본 파일을 decrypt 폴더로 이동

※ 확장자가 같더라도 변조된 파일과 원본이 같은 파일이어야 프로그램이 실행되기 때문에 변조된 파일의 원본이

  없다면 사진 샘플 폴더(C:UsersPublicPicturesSample Pictures)​의 jpg 파일들을 이용하여 복호화가 가능합니다. 

※ 테스트 결과, 복구 시 사용된 원본파일 용량 이상의 파일은 해독이 불가능합니다. Sample music 폴더에 있는 mp3 파일 

이용 시 사진보다 더 높은용량의 파일 복구가 가능합니다. 또한 사용자 본인이 백업해놓은 더 큰 용량의 원본파일이 있다면 

해당 파일로 진행하시면 더 성공적인 복원을 하실 수 있습니다.​

4. 복호화 프로그램(decrypt_nemucod.exe) 실행 

→ Start scan 버튼을 클릭하여 감염파일 복원을 진행합니다.

※ ​해당 프로그램으로 정상적인 복원이 되지 않을 수도 있으며, 정상적인 작동 여부를 확인하기 위해 일부 파일로 

먼저 진행해보는게 좋다고 메시지창 하단에 명시되어 있습니다. 꼭 일부 파일의 복사본으로 진행하시거나 백업본을 

만드신 후 진행하시기 바랍니다.

  - change parameters : 복원진행 시 옵션을 선택합니다.

→ change parameters 클릭 시 Settings 창이 뜨며, 옵션을 선택할 수 있습니다.

  - Objects to scan : 복원할 파일 스캔 시 하드디스크, 이동식디스크, 네트워크 드라이브 중 체크된

    항목에 대해서만 진행합니다.

  - Additional options : 항목에 체크 시 복원 후 감염된 crypt 파일을 삭제합니다.

→ Start scan​ 버튼 클릭 시 파일 선택창이 나옵니다. 감염된 crypt 파일을 선택합니다.

→ 성공적인 복원을 위해 crypt 파일의 원본 파일을 지정해야 한다고 명시되어 있습니다. Continue 버튼을 클릭

하여 계속 진행합니다.

→ 원본 파일을 선택합니다.​

→ 복원이 진행되며 Object 에서 현재 Decrypted되는 파일 경로를 보여줍니다.

​→ 복원이 완료되면 Scan completed로 메시지가 바뀌며, 암호화된 파일개수와 복원된 파일개수가

명시됩니다.(해당 프로그램은 지정한 원본파일 용량 이상의 파일은 복구되지 않습니다.)

 - Report : 복원 로그를 보여줍니다.

 - details : 복원이 진행된 파일들의 경로와 결과를 보여줍니다.

→ Report 클릭 시 화면​

→ details 클릭 시 화면​

이방법으로해도 안되신다면 신종유형입니다.

보통 비트코인을 입금하고 진행하는것이 가장 빠르며

비트코인 구매관련해서 업체를 대행하게되면 수수료가 20~30만원선이 넘습니다.

필자의경우 수수료 5만원 정도로 진행해드리니 도움이 필요하시면 연락주시기 바랍니다.

긴급연락처 : 010-9911-1008

랜섬웨어복구비용 알아보기.

현재 랜섬웨어에 감염되었다면 선택할수 있는 방법을 두가지로 나눌수 있습니다.



1. 복구비용을 확인해서 최대한 저렴하게 복구하는방법.

2. 암호화가 걸린 데이터를 영구적으로 백업해놓은상태에서 PC를 포멧하여 사용하는방법.



1번의 경우는 업체를 통해서 진행하게되면 오히려 바가지를 쓸수 있습니다.

정확히 해커가 요구하는금액을 알고서 요청하시는것이 Point입니다.


2번의 경우는 혹시나 모를 보안업체의 암호화해제 프로그램이 무료로 배포될수 있기때문입니다.

보안업체들이 랜섬웨어에 관한 연구가 많으니.. 어쩌면 몇년후 쯤에는 당신이 걸린 랜섬웨어

파일을 복구할수 있는 해제 프로그램이 무류로 배포를 제공받을수 도 있으니. 반드시

데이터를 삭제하지 마시고 보관하시기 바랍니다.



자. 그런다면 어떻게 해커가 요구하는 금액을 알수 있는지 알아보겠습니다.

Crypted 복호화 방법

글로벌 보안 업체인 엠시소프트(Emsisoft)에서 Crypted 랜섬웨어를 복호화 하는 프로그램를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

본 과정은 Crypted(.crypted)만 적용되며, 이외에 다른 랜섬웨어는 적용되지 않습니다.
암호화된 파일과 원본파일을 통해 키를 추출하여 복호화하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다. 
본 과정은 엠시소프트(Emsisoft)가 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.  

(출처: https://decrypter.emsisoft.com/)

​ 복호화 진행절차  

1. 바탕화면에 decrypt 폴더 생성

2. Nemucod Decrypter 다운로드

→ https://www.emsisoft.com/en/​​ 접속 후 SUPPORT > Ransomware Decrypter 메뉴로 이동

→ Emsisotf Decrypter for Nemucod 글에서 DOWNLOAD 클릭

→ 다운 받은 decrypt_nemucod.exe 파일을 저장하여 바탕화면 decrypt 폴더로 이동

3. 복호화 시 필요한 원본/감염 파일 가져오기

→ crypted로 확장자가 변조된 파일과 같은 원본 파일을 decrypt 폴더로 이동

※ 확장자가 같더라도 변조된 파일과 원본이 같은 파일이어야 프로그램이 실행되기 때문에 변조된 파일의 원본이

  없다면 사진 샘플 폴더(C:UsersPublicPicturesSample Pictures)​의 jpg 파일들을 이용하여 복호화가 가능합니다.

​​4. 복호화 프로그램(decrypt_nemucod.exe) 실행 

→ 원본/감염파일을 선택하여 decrypt_nemucod.exe 파일로 드래그​합니다.

→ 선택된 파일을 통해 복호화키를 검출, 확인을 클릭하여 진행합니다.

※ ​해당 복호화키가 맞지 않을 수 있으며, 정상적인 작동 여부를 확인하기 위해 일부 파일로 먼저 진행해보는게 좋다고 메시지창 하단에 명시되어 있습니다.                  꼭 일부 파일의 복사본으로 진행하시기 바랍니다.

→ 라이센스 조건창이 뜨며, 어떠한 조건 없이 프로그램이 제공되지만 해당 프로그램과 관련하여 어떠한 경우에도 책임을 지지 않겠다라는 내용이 명시되어 있고           이에 동의할 것인지 묻고 있습니다. 진행하시려면 예를 클릭하여 계속 진행합니다.

5. 복호화 프로그램(decrypt_nemucod.exe) 기능

→ 우측 하단에 Decrypt 버튼을 클릭하여 복호화를 시작​

   - Decrypter : PC에 연결된 드라이브 목록이 보여지며, 해당 드라이브에서 감염된 파일을 복호화합니다.

   - Add file(s) :  PC 내 암호화된 파일을 추가시킬 수 있습니다.

   - Remove file(s) : 복원할 드라이브 및 파일을 복원대상에서 제거합니다.

   - Clear files : 복원된 파일 로그를 삭제합니다.

→ Decrypt 버튼을 클릭하여 복호화가 시작되면 Results에서 복원중인 파일 로그를 보여주며, 복원이 끝나면 Finished! 메세지로 알려줍니다.

   - Options : Keep encrypted files 옵션을 체크해제하면 암호화된 파일을 복원 후 삭제합니다. 

   - Save log : 파일로그를 텍스트파일로 원하는 위치에 저장합니다.

   - Copy log to clipboard : 파일로그를 복사합니다.

   - abort : 파일 복원 작업을 중단합니다.

github.com의 ‘Googulator’회원이 TeslaCrypt2.2를 복호화하는 소스를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 아직 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

'googulator'에게 감사를 표하는 바입니다.
본 과정은 TeslaCrypt2.2(.vvv, .ccc)만 적용되며 최근 유행하는 TeslaCrypt3.0(micro, ttt, xxx, zzz)는 적용되지 않습니다.
암호화된 PDF 파일에서 키를 추출하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다.
본 과정은 github.com의 Googulator의 소스로 진행하며, 방법만 제시할 뿐 암호화 되지 않거나, 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.
(원문: https://github.com/Googulator/TeslaCrack)

이번 TeslaCrypt2.2(.ccc, .vvv)복호화 방법은 Bitcoin key를 이용하여 복호화 하는 방법입니다.

이전에 올렸던 'TeslaCrypt2.2(.ccc, .vvv) 복호화방법(AES key)' 글의 <복호화 준비과정> ~ <키 추출과정> 8번까지는 공통과정 입니다.

이전에 AES key로 복호화를 시도했으나 복호화가 안되신 분은 <키 추출과정> 9번부터 진행하시면 됩니다.

​ 복호화 준비과정  

1. C드라이브에 decrypt폴더 생성

2. Python 설치

↑ https://www.python.org 접속 후 Downloads -> Windows 메뉴로 이동

↑ Lastest Python 2 Release - Python 2.7.11 클릭

↑ 본인의 OS가 64bit인 경우 ->Windows x86-64 MSI installer를 클릭하여 python-2.7.11.amd64.msi 다운로드 후 실행
↑ 본인의 OS가 32bit인 경우 -> Windows x86 MSI installer를 클릭하여 python-2.7.11.msi 다운로드 후 실행

↑ Next 클릭

↑ Next 클릭

↑ 다음과 같이 설정하고 Next 클릭

↑ Finish클릭

3. pycrypto2.6 설치

​  * 본인의 OS가 64bit인 경우 -> http://www.voidspace.org.uk/downloads/pycrypto26/pycrypto-2.6.win-amd64-py2.7.exe
  * 본인의 OS가 32bit인 경우 -> http://www.voidspace.org.uk/downloads/pycrypto26/pycrypto-2.6.win32-py2.7.exe
  * 클릭하고 다운로드하여 실행(Next만 누르시면 됩니다.)

4. 본인의 OS가 32bit일 경우 추가 설치(64bit 해당 없음)
https://www.microsoft.com/ko-kr/download/details.aspx?id=21576 접속하여 다운로드 클릭​

↑ 다운 후 설치

5. TeslaCrack 다운로드

↑ https://github.com/Googulator/TeslaCrack 접속 후 Download ZIP을 클릭하여 TeslaCrack-master.zip을 다운로드 한 다음 압축해제 하여 파일들을 C드라이브의 decrypt폴더로 이동

 
6. yafu1.34 다운로드

↑ http://sourceforge.net/projects/yafu 접속 후 Download를 클릭하여 yafu-1.34.zip 다운로드

   * yafu-1.34.zip 압축해제 후 파일들을 decrypt폴더로 이동

↑ 과정1~6 이후 C:decrypt 폴더

키 추출 과정 

※ 참고1 : 본 <키 추출 과정>은 원본파일형식이 PDF일 경우를 가정합니다.

    PDF에서 추출한 키로 다른 형식의 파일들도 복호화가 가능합니다.

   JPG나 XLSX에서 키를 추출할 경우 c:decrypt 폴더 내에 unfactor.py를 우클릭하여 ‘Edit with IDLE’를 클릭하여 magic

number를 수정해야 합니다. JPG일 경우 -> magic = 'xffxd8'입니다.

※참고2. 암호화 된 파일의 형식이 ccc일 경우 (vvv일 경우 생략)
teslacrack.py 파일을 우클릭, 'Edit with IDLE'를 클릭하여 extension을 '.ccc'로 수정합니다.

1. 시작->모든 프로그램->보조프로그램->명령프롬프트를 우클릭하여 관리자 권한으로 실행

2. c:decrypt 폴더로 이동

3. 다음 명령어를 입력
python -c "import urllib2; print urllib2.urlopen('https://bootstrap.pypa.io/ez_setup.py').read()" | python

4. 다음 명령어를 입력
easy_install pip

5. 다음 명령어를 입력
pip install pycrptodome

6. 다음 명령어를 입력
pip install ecdsa

7. 키 추출할 파일을 복사

키를 추출할 파일(암호화된 파일)을 c:decrypt 폴더로 복사합니다.​
(주의:파일이름을 임의로 영어소문자로 변경 예)2015년자료.pdf.vvv -> aaa.pdf.vvv) 

8. 다음 명령어를 입력

​python teslacrack.py .
(주의:python teslacrack.py다음 공백 그다음 마침표입니다.)

9. 결과 값에서 공개키를 추출
공개키를 메모장에 적어둡니다. 

↑ 본 과정에서 공개키는

0E57F08C415F9B796F27FAEC9DC42AF34E65BA1E383A4B899FC194D57036C2
BD4226B125C97EEFC3FE066638291A1C14F472B76DCA0F4BC9CE9DAACDB7463ABC 입니다.
​

10. 다음 명령어를 입력 (공개키에서 소인수 추출)
본인의 OS가 64bit인 경우 -> yafu-x64 factor(0x<위에서 추출한 공개키>) -threads 2
본인의 OS가 32bit인 경우 -> yafu-Win32 factor(0x<위에서 추출한 공개키>) -threads 2​

↑ 본 과정에서는 yafu-x64 factor

(0x 0E57F08C415F9B796F27FAEC9DC42AF34E65BA1E383A4B899FC194D57036C2
BD4226B125C97EEFC3FE066638291A1C14F472B76DCA0F4BC9CE9DAACDB7463ABC) -threads 2
입니다.

11. 추출된 소인수 확인
추출된 소인수 들을 메모장에 적어둡니다.

↑ 본 과정에서 소인수 들은 

  2 2 3 41 197 6359 70968389 155294899299743642489 
 1382827764863134336750390230307 2617253980438790762929403
 30557451489294449536540566155110125150974592196074835557246091​ 입니다.

12. 다음 명령어를 입력 (비밀키 추출)
python unfactor_ecdsa.py "<파일이름>“ <소인수> <소인수> .... 

↑ 본 과정에서는 python unfactor_ecdsa.py "aaa.pdf.vvv"

   2 2 3 41 197 6359 70968389 155294899299743642489
  1382827764863134336750390230307 2617253980438790762929403
  30557451489294449536540566155110125150974592196074835557246091​입니다.

13. 추출된 비밀키
추출한 비밀키를 메모장에 적어둡니다.

↑ 본 과정에서 추출한 비밀키는
65E4B63EC0FEBA0985D9367381EAD4E4D8E53052B52BF2E608BC00086B48C362 입니다.

과정 13까지 메모장에 적어둔 내용입니다.

14. TeslaDecoder 다운로드 후 압축 해제
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

로 접속하여 TeslaDecoder를 다운로드 후 압축 해제

15. TeslaDecoder 실행

TeslaDecoder를 실행 후 Set Key를 클릭 

 16. Set key 

Key(hex)에 메모장에 적어놓은 비밀키(bitcoin)을 입력하고 Extension에는 .ccc, .vvv를 선택하고

Set Key 버튼을 클릭

17. Decrypt Folder 선택

Decrypt Folder를 클릭하여 복호화 할 폴더를 선택합니다.

18. Decrypt Folder 선택

본 과정에서는 aaa.pdf.vvv가 있는 c:decrypt 를 선택하였습니다.

19. 복호화 시작

'예(Y)'를 클릭

20. 복호화 완료

C:decrypt 폴더 내에 있던 aaa.pdf.vvv파일이 복호화 되었습니다.

github.com의 ‘Googulator’회원이 TeslaCrypt2.2를 복호화 하는 소스를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 아직 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

'googulator'에게 감사를 표하는 바입니다.
본 과정은 TeslaCrypt2.2(.vvv, .ccc)만 적용되며 최근 유행하는 TeslaCrypt3.0(micro, ttt, xxx, zzz)는 적용되지 않습니다.
암호화된 PDF 파일에서 키를 추출하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다.
본 과정은 github.com의 Googulator의 소스로 진행하며, 방법만 제시할 뿐 암호화 되지 않거나, 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.
(원문: https://github.com/Googulator/TeslaCrack)

​ 복호화 준비과정  

1. C드라이브에 decrypt폴더 생성

2. Python 설치

↑ https://www.python.org 접속 후 Downloads -> Windows 메뉴로 이동

↑ Lastest Python 2 Release - Python 2.7.11 클릭

↑ 본인의 OS가 64bit인 경우 ->Windows x86-64 MSI installer를 클릭하여 python-2.7.11.amd64.msi 다운로드 후 실행
↑ 본인의 OS가 32bit인 경우 -> Windows x86 MSI installer를 클릭하여 python-2.7.11.msi 다운로드 후 실행

↑ Next 클릭

↑ Next 클릭

↑ 다음과 같이 설정하고 Next 클릭

↑ Finish클릭

3. pycrypto2.6 설치

​  * 본인의 OS가 64bit인 경우 -> http://www.voidspace.org.uk/downloads/pycrypto26/pycrypto-2.6.win-amd64-py2.7.exe
  * 본인의 OS가 32bit인 경우 -> http://www.voidspace.org.uk/downloads/pycrypto26/pycrypto-2.6.win32-py2.7.exe
  * 클릭하고 다운로드하여 실행(Next만 누르시면 됩니다.)

4. 본인의 OS가 32bit일 경우 추가 설치(64bit 해당 없음)
https://www.microsoft.com/ko-kr/download/details.aspx?id=21576 접속하여 다운로드 클릭​

↑ 다운 후 설치

5. TeslaCrack 다운로드

↑ https://github.com/Googulator/TeslaCrack 접속 후 Download ZIP을 클릭하여 TeslaCrack-master.zip을 다운로드 한 다음 압축해제 하여 파일들을 C드라이브의 decrypt폴더로 이동

 
6. yafu1.34 다운로드

↑ http://sourceforge.net/projects/yafu 접속 후 Download를 클릭하여 yafu-1.34.zip 다운로드

   * yafu-1.34.zip 압축해제 후 파일들을 decrypt폴더로 이동

↑ 과정1~6 이후 C:decrypt 폴더

키 추출 과정 

※ 참고1 : 본 <키 추출 과정>은 원본파일형식이 PDF일 경우를 가정합니다. PDF에서 추출한 키로 다른 형식의 파일들도 복호화가 가능합니다.

JPG나 XLSX에서 키를 추출할 경우 c:decrypt 폴더 내에 unfactor.py를 우클릭하여 ‘Edit with IDLE’를 클릭하여 magic

number를 수정해야 합니다. JPG일 경우 -> magic = 'xffxd8'입니다.

※참고2. 암호화 된 파일의 형식이 ccc일 경우 (vvv일 경우 생략)
teslacrack.py 파일을 우클릭, 'Edit with IDLE'를 클릭하여 extension을 '.ccc'로 수정합니다.

1. 시작->모든 프로그램->보조프로그램->명령프롬프트를 우클릭하여 관리자 권한으로 실행

2. c:decrypt 폴더로 이동

3. 다음 명령어를 입력
python -c "import urllib2; print urllib2.urlopen('https://bootstrap.pypa.io/ez_setup.py').read()" | python

4. 다음 명령어를 입력
easy_install pip

5. 다음 명령어를 입력
pip install pycrptodome

6. 다음 명령어를 입력
pip install ecdsa

7. 키 추출할 파일을 복사

키를 추출할 파일(암호화된 파일)을 c:decrypt 폴더로 복사합니다.​
(주의:파일이름을 임의로 영어소문자로 변경 예)2015년자료.pdf.vvv -> aaa.pdf.vvv) 

8. 다음 명령어를 입력

​python teslacrack.py .
(주의:python teslacrack.py다음 공백 그다음 마침표입니다.)

9. 결과 값에서 공개키를 추출
공개키를 메모장에 적어둡니다. 

↑ 본 과정에서 공개키는 66A372AEC45361D3D13E28EB9133A3CF3C22DAF18D7B2F3250044A3B1A9A207A3936BC1E9C88E5AA8666164E7196842705BE99A1F68100EBBA83E46ABAF8E5DC 입니다.

10. 다음 명령어를 입력 (공개키에서 소인수 추출)
본인의 OS가 64bit인 경우 -> yafu-x64 factor(0x<위에서 추출한 공개키>) -threads 2
본인의 OS가 32bit인 경우 -> yafu-Win32 factor(0x<위에서 추출한 공개키>) -threads 2​

↑ 본 과정에서는 yafu-x64 factor(0x66A372AEC45361D3D13E28EB9133A3CF3C22DAF18D7B2F3250044A3B1A9A207A3936BC1E9C88E

5AA8666164E7196842705BE99A1F68100EBBA83E46ABAF8E5DC) -threads 2
입니다.

11. 추출된 소인수 확인
추출된 소인수 들을 메모장에 적어둡니다.

↑ 본 과정에서 소인수 들은  2 2 3 5 7 11 13 17 19 157 1474160868811 691161619 24645257531 278661497944946419 4963077622587375846870661 4740666795454269807964691329292947688557 10720502856037624320561244521127입니다.

12. 다음 명령어를 입력 (비밀키 추출)
python unfactor_ecdsa.py "<파일이름>“ <소인수> <소인수> .... 

↑ 본 과정에서는 python unfactor_ecdsa.py "aaa.pdf.vvv" 2 2 3 5 7 11 13 17 19 157 1474160868811 691161619 24645257531 278661497944946419 4963077622587375846870661 4740666795454269807964691329292947688557 10720502856037624320561244521127입니다.

13. 추출된 비밀키
추출한 비밀키를 메모장에 적어둡니다.

↑ 본 과정에서 추출한 비밀키는
9x32xdex76x38xa7x65xc5xccx01xb2x95xfax32x78xa6x14x36xd3'입니다.
9x32xdex76x38xa7x65xc5xccx01xb2x95xfax32x78xa6x14x36xd3' (80A7
4A4C87AC4C16D902E4D5943932DE7638A765C5CC01B295FA3278A61436D3)
입니다.

teslacrack.py에 붙여넣을 부분은

b'x80xa7x4ax4cx87xacx4cx16xd9x02xe4xd5x94x3
9x32xdex76x38xa7x65xc5xccx01xb2x95xfax32x78xa6x14x36xd3'입니다.​

과정 11까지 메모장에 적어둔 내용입니다.

14. teslacrack.py 수정
추출한(메모장에 적어둔) 공개키와 비밀키를 teslacrack.py에 붙여 넣습니다.

teslacrack.py를 우클릭하여 'Edit with IDLE'를 클릭합니다.

다음과 같이 공개키와 비밀키를 입력 후 저장 후 닫습니다.

15. 다음 명령어를 입력 (복호화)
python teslacrack.py

↑ 같은 폴더 내 aaa.pdf.vvv가 복호화된 모습

(참고: python teslacrack.py <파일경로 혹은 드라이브>

예를 들어 phthon teslacrak.py c:를 입력할 경우 C드라이브의 암호화된 파일을 찾아서 전부 복호화 합니다.)