랜섬웨어 복구비용 알아보기

 

해당글은 랜섬웨어에 2차 피해자를 줄이기 위해 포스팅된 글입니다.

 

 

 

 

당신의 파일이 확장자와 파일이름이

이상하게 변조되었다면..
당신은 불행이도 랜섬웨어에 감염된 것입니다.

 

 

 

주로 확장자는 crypt 나 cerber 등 다양한 확장자 등이 있습니다.

 

랜섬웨어에 감염된후 GoldenTime 은 3일입니다.

 

3일이 경과한이후는 복구비용이 2~3배로 올라간다.

 

 

이제 선택할수 있는 부분은 2가지 입니다.

 

 

1. 파일을 포기하고 PC를 포멧하거나 바이러스를 치료

 

2. 해커에게 bitcoin을 입금하고 복호화 프로그램을 받는것.

 

 

필자는 중요한 자료가 아니고 5년정도 후에라도 파일이

 

복구되어도 관계없다면 1번을 권장한다.(자료는 삭제하지말고 반드시 백업해놓을것)

**추후에 복호화파일이 무료로 공개되는경우들이 있습니다**

 

 

2번은 정신적 스트레스가 따라올수 있으니

 

정말 중요한 자료가 많다면 선택해야하는 길입니다.

 

 

 

2번을 선택하였다면 필자가 올려놓은 포스팅파일을 통해

 

bitcoin부분을 먼져 확인해보기 바랍니다.

 

 

http://peta-byte.net/167

 

 

업체를 통해서 진행한다면.. 판단을 잘하셔야 합니다.

 

업체의경우 절대로 암호를 해독하는것은

 

불가능 합니다.

 

 

랜섬웨어의 경우 128bit 이상의 암호화 기술이기때문에

 

암호를 해독한다는것 자체는 절대 불가능합니다.

 

 

전세계적으로  유행하는 바이러스 이므로 국내에서 자체기술만으로 해독한다는 것은 모두 허위광고 입니다.

 

 

보통 모든 업체가 해커에게 bitcoin을 입금하고

 

자기들이 직접 해독한것처럼하여

 

비트코인복호화비용보다 비싼 금액을

 

요구하는 경우가 많습니다.

 

 

 

실패시 환불해준다는 업체도 있다고 하던데

 

실제로 실패시 소비자 과실로 돌리는 경우가 많다고하니

 

주의를 기울여야 할것입니다.

 

 

 

정말 해독하고 싶다면 bitcoin 입금하는 방법을

 

검색하여 찾는길이 가장 저렴하며

 

정말 어렵고 힘들다 싶으신분들은

 

주저없이 연락주시기 바랍니다.

 

 

 

 

부디 업체로부터 피해를 입는 분들이

 

많지 않기를 기원합니다.

 

 

선택은 본인의 몫 입니다.

 

 

 

긴급지원 연락처 : 010-9911-1008

복구파일의뢰 : 7petabyte@gmail.com

 

 

해커로부터 파일 1개는 공짜로 해독이 가능합니다.

 

정말 필요한 파일 1개만 해독하고 싶다면

 

무료로 지원해드리니 연락주시기 바랍니다.

 

 

해커가 제공하는 복화화 파일은 다음 그림들과 같습니다.

 

 

crypt 복호화 해제 프로그램

 

cyber 복호화 해제 프로그램

 

 

 

해당글은 랜섬웨어에 광고글이 아닌 필자가 2차피해자를

줄이기위해 포스팅한 글입니다.

 

 

 

당신의 파일이 확장자와 파일이름이

이상하게 변조되었다면..

 

당신은 불행이도 랜섬웨어에 감염된 것이다.

 

 

 

주로 확장자는 crypt 나 cerber 등 다양한 확장자 등이 있다.

 

 

 

랜섬웨어에 감염된후 GoldenTime 은 3일이다.

 

 

 

3일이 경과한이후는 복구비용이 2~3배로 올라간다.

 

 

이제 선택할수 있는 부분은 2가지 입니다.

 

 

 

1. 파일을 포기하고 PC를 포멧하거나 바이러스를 치료

 

2. 해커에게 bitcoin을 입금하고 복호화 프로그램을 받는것.

 

 

필자는 중요한 자료가 아니고 5년정도 후에라도 파일이

 

복구되어도 관계없다면 1번을 권장한다.

 

 

 

2번은 정신적 스트레스가 따라올수 있으니

 

 

정말 중요한 자료가 많다면 선택해야하는 길입니다.

 

 

 

 

2번을 선택하였다면 필자가 올려놓은 포스팅파일을 통해

 

bitcoin부분을 먼져 확인해보기 바랍니다.

 

 

http://peta-byte.net/167

 

 

 

업체를 통해서 진행한다면..

 

업체의경우 절대로 암호를 해독하는것은

 

불가능 합니다.

 

랜섬웨어의 경우 128bit 이상의 암호화 기술이기때문에

 

암호를 해독한다는것 자체는 절대 불가능합니다.

 

 

전세계적으로  유행하는 바이러스 이므로 국내에서 자체기술만으로 해독한다는 것은 모두 허위광고 입니다.

 

 

 

보통 모든 업체가 해커에게 bitcoin을 입금하고

 

자기들이 직접 해독한것처럼하여

 

비트코인복호화비용보다 비싼 금액을

 

요구하는 경우가 많습니다.

 

 

 

실패시 환불해준다는 업체도 있다고 하던데

 

실제로 실패시 소비자 과실로 돌리는 경우가 많다고하니

 

주의를 기울여야 할것입니다.

 

 

 

정말 해독하고 싶다면 bitcoin 입금하는 방법을

 

검색하여 찾는길이 가장 저렴하며

 

 

정말 어렵고 힘들다 싶으신분들은

 

주저없이 연락주시기 바랍니다.

 

 

 

 

부디 업체로부터 피해를 입는 분들이

 

많지 않기를 기원합니다.

 

 

선택은 본인의 몫 입니다.

 

 

 

긴급지원 연락처 : 010-9911-1008

복구파일의뢰 : 7petabyte@gmail.com

 

 

해커로부터 파일 1개는 공짜로 해독이 가능합니다.

 

정말 필요한 파일 1개만 해독하고 싶다면

 

무료로 지원해드리니 연락주시기 바랍니다.

 

 

해커가 제공하는 복화하 파일은 다음 그림들과 같습니다.

 

 

crypt랜섬웨어 복호화 프로그램 입니다.

 

cerber 복호화 프로그램 입니다.

 

 

 

 

 

 

 

 

랜섬웨어복구비용 알아보기.

현재 랜섬웨어에 감염되었다면 선택할수 있는 방법을 두가지로 나눌수 있습니다.



1. 복구비용을 확인해서 최대한 저렴하게 복구하는방법.

2. 암호화가 걸린 데이터를 영구적으로 백업해놓은상태에서 PC를 포멧하여 사용하는방법.



1번의 경우는 업체를 통해서 진행하게되면 오히려 바가지를 쓸수 있습니다.

정확히 해커가 요구하는금액을 알고서 요청하시는것이 Point입니다.


2번의 경우는 혹시나 모를 보안업체의 암호화해제 프로그램이 무료로 배포될수 있기때문입니다.

보안업체들이 랜섬웨어에 관한 연구가 많으니.. 어쩌면 몇년후 쯤에는 당신이 걸린 랜섬웨어

파일을 복구할수 있는 해제 프로그램이 무류로 배포를 제공받을수 도 있으니. 반드시

데이터를 삭제하지 마시고 보관하시기 바랍니다.



자. 그런다면 어떻게 해커가 요구하는 금액을 알수 있는지 알아보겠습니다.




(최근 1개월 비트코인 시세 : 1BTC 당 480,000원~500,000원)
현재(2016.04.01)까지 한국랜섬웨어침해대응센터에 접수된 랜섬웨어를 통계로 랜섬웨어 종류별 요구하는 비트코인입니다.
최근 유행하는 TeslaCrypt4.0은 1.3BTC(624,000~650,000원) Locky는 0.5~5.1BTC(240,000~2,550,000원)을 요구하고 있습니다.

보통은 3일이내에 해결하는것이 비용이 가장 저렴합니다.

요구 비트코인 확인방법


해커가 폴더마다 남겨놓은 텍스트파일을 열어서 그안에 적힌 인터넷주소로 접속하면 확인해볼 수 있습니다.

①번의 주소로 접속이 안될 시 TOR브라우저를 설치하여 ②번주소로 접속을 시도하시기 바랍니다.


(랜섬웨어에 따라 특정시간이 지나면 요구하는 금액이 상승할 수 있습니다.)



간단하시죠.

이제 비트코인을 구매하고 해커에게 입금하면 파일을 받을수 있습니다.


만약 어려우시다면 주저말고 도움을 요청해주시면 안내해드리겠습니다.

업체를 통하면 수수료를 챙기니.. 현명하게 선택하시어 진행하시기 바랍니다.^^


 

 

 


랜섬웨어 란.

 

ransom : 파일을잡고 돈을 요구한다해서 붙은 이름이다.

 

 

이바이러스에 감염되면 공유폴더 (SMB)에 공유되어 있던 파일들은 모두 감염이 된다.

 

 

일단 이 글을 검색해서 들어오게 됬다면. 안좋은 결과물의 해결책을 위해서 들어왔다고 생각된다.

 

 

결론부터 말하자면 파일복구는 가능한가?

 

- 가능하다. 하지만 복불복이다.

 

암호화 해독을 할수 있는 업체에게 의뢰해야 하는가?

 

- 아니다. 그들도 똑같이 해커에서 비트코인을 입금한 이후 결과물을 받아 해독할것이다.

  ( 암호화를 해독하는건 현재 전세계적으로 불가능하다.)

 

가장 좋은방법은 무엇인가?

 

- 본인이 비트코인에 대해서 알고 있다면 비트코인을 구매해서 해커에게 비트코인을 송금하고 결과파일을 받는것이다.

 

 

비트코인만 입금하면 무조건 파일복구를 할수 있는가?

 

 

- 아니다. 이건 .. 해커에 따라 다르다 보통은 파일을 주지만 그렇지 않는 경우도 있다고 한다.

  필자가 약.. 20~30건정도 랜섬웨어 치료를 하였으나 지금까지 복구파일을 못받은 적은 없다.

 

 

 

 

최근에 들었다 .. 필자가 최근에 랜섬웨어 복구한 업체가 있는데. 수도권에 있는 업체에서 내려와

 

복구비용은 1000만원 가량이며 시일은 1주~2주정도 걸릴수 있다. 이 비용은 암호화 해제하는

 

엔지니어들의 기술비용이라고 하였다.

 

 

 

해당건 필자는 140만원 정도에 해결되었다.

 

 

랜섬웨어를 틈타 틈새시장을 노리는 업자들이 많은것 같다..

 

 

 

부디.. 현명한 선택들 하시기를...

 

혹시 랜섬웨어에 관해 파일복구가 필요하다면 연락주세요. 

 

터무니없는 업체가격에 휘둘리지 마세요 ^^



복구관련문의 긴급통화 010-9911-1008




목포랜섬웨어,여수랜섬웨어,장성랜섬웨어,장흥랜섬웨어,완도랜섬웨어,광양랜섬웨어,강진랜섬웨어,담양랜섬웨어,진도랜섬웨어,곡성랜섬웨어,해남랜섬웨어,신안랜섬웨어,영암랜섬웨어,구례랜섬웨어,고흥랜섬웨어,무안랜섬웨어,순천랜섬웨어,보성랜섬웨어,함평랜섬웨어,화순랜섬웨어,영광랜섬웨어,나주랜섬웨어

랜섬웨어 란.

 

ransom : 파일을잡고 돈을 요구한다해서 붙은 이름이다.

 

 

이바이러스에 감염되면 공유폴더 (SMB)에 공유되어 있던 파일들은 모두 감염이 된다.

 

 

일단 이 글을 검색해서 들어오게 됬다면. 안좋은 결과물의 해결책을 위해서 들어왔다고 생각된다.

 

 

결론부터 말하자면 파일복구는 가능한가?

 

- 가능하다. 하지만 복불복이다.

 

암호화 해독을 할수 있는 업체에게 의뢰해야 하는가?

 

- 아니다. 그들도 똑같이 해커에서 비트코인을 입금한 이후 결과물을 받아 해독할것이다.

  ( 암호화를 해독하는건 현재 전세계적으로 불가능하다.)

 

가장 좋은방법은 무엇인가?

 

- 본인이 비트코인에 대해서 알고 있다면 비트코인을 구매해서 해커에게 비트코인을 송금하고 결과파일을 받는것이다.

 

 

비트코인만 입금하면 무조건 파일복구를 할수 있는가?

 

 

- 아니다. 이건 .. 해커에 따라 다르다 보통은 파일을 주지만 그렇지 않는 경우도 있다고 한다.

  필자가 약.. 20~30건정도 랜섬웨어 치료를 하였으나 지금까지 복구파일을 못받은 적은 없다.

 

 

 

 

최근에 들었다 .. 필자가 최근에 랜섬웨어 복구한 업체가 있는데. 수도권에 있는 업체에서 내려와

 

복구비용은 1000만원 가량이며 시일은 1주~2주정도 걸릴수 있다. 이 비용은 암호화 해제하는

 

엔지니어들의 기술비용이라고 하였다.

 

 

 

해당건 필자는 140만원 정도에 해결되었다.

 

 

랜섬웨어를 틈타 틈새시장을 노리는 업자들이 많은것 같다..

 

 

 

부디.. 현명한 선택들 하시기를...

 

혹시 랜섬웨어에 관해 파일복구가 필요하다면 연락주세요. 

 

터무니없는 업체가격에 휘둘리지 마세요 ^^

 

 

복구관련문의 긴급이메일 0petabyte@gmail.com

 

 

 

목포랜섬웨어,여수랜섬웨어,장성랜섬웨어,장흥랜섬웨어,완도랜섬웨어,광양랜섬웨어,강진랜섬웨어,담양랜섬웨어,진도랜섬웨어,곡성랜섬웨어,해남랜섬웨어,신안랜섬웨어,영암랜섬웨어,구례랜섬웨어,고흥랜섬웨어,무안랜섬웨어,순천랜섬웨어,보성랜섬웨어,함평랜섬웨어,화순랜섬웨어,영광랜섬웨어,나주랜섬웨어

 

 

 

랜섬웨어 란.

 

ransom : 파일을잡고 돈을 요구한다해서 붙은 이름이다.

 

 

이바이러스에 감염되면 공유폴더 (SMB)에 공유되어 있던 파일들은 모두 감염이 된다.

 

 

일단 이 글을 검색해서 들어오게 됬다면. 안좋은 결과물의 해결책을 위해서 들어왔다고 생각된다.

 

 

결론부터 말하자면 파일복구는 가능한가?

 

- 가능하다. 하지만 복불복이다.

 

암호화 해독을 할수 있는 업체에게 의뢰해야 하는가?

 

- 아니다. 그들도 똑같이 해커에서 비트코인을 입금한 이후 결과물을 받아 해독할것이다.

  ( 암호화를 해독하는건 현재 전세계적으로 불가능하다.)

 

가장 좋은방법은 무엇인가?

 

- 본인이 비트코인에 대해서 알고 있다면 비트코인을 구매해서 해커에게 비트코인을 송금하고 결과파일을 받는것이다.

 

 

비트코인만 입금하면 무조건 파일복구를 할수 있는가?

 

 

- 아니다. 이건 .. 해커에 따라 다르다 보통은 파일을 주지만 그렇지 않는 경우도 있다고 한다.

  필자가 약.. 20~30건정도 랜섬웨어 치료를 하였으나 지금까지 복구파일을 못받은 적은 없다.

 

 

 

 

최근에 들었다 .. 필자가 최근에 랜섬웨어 복구한 업체가 있는데. 수도권에 있는 업체에서 내려와

 

복구비용은 1000만원 가량이며 시일은 1주~2주정도 걸릴수 있다. 이 비용은 암호화 해제하는

 

엔지니어들의 기술비용이라고 하였다.

 

 

 

해당건 필자는 140만원 정도에 해결되었다.

 

 

랜섬웨어를 틈타 틈새시장을 노리는 업자들이 많은것 같다..

 

 

 

부디.. 현명한 선택들 하시기를...

 

혹시 랜섬웨어에 관해 파일복구가 필요하다면 연락주세요. 

 

터무니없는 업체가격에 휘둘리지 마세요 ^^


복구관련문의 긴급통화 010-9911-1008

 


필자가 랜섬웨어에 감염되었던 기관에 랜섬웨어 복구 대행을 진행했을때

 

해커에게 비용(비트코인)을 건내고 받은 파일이다.

 

어차피 통상 다른 PC에는 적용되지 않는다.

 

 

하지만 본인이 필요로 하다면 메일주신다면 보내드릴순 있습니다.

 

개발의 목적이나 프로그래밍 하시는분들이라면 구조라도 어느정도 보실순 있을것 같습니다 ^^

 

 

 

 

 

암호는 A167CE70F37A9ED54593F3772281B843B9E11680070C00DDA3C333046D0EC675

 

이였다..

 

 

복구파일 문의 7petabyte@gmail.com

 

 

랜섬웨어 란.

 

ransom : 파일을잡고 돈을 요구한다해서 붙은 이름이다.

 

 

이바이러스에 감염되면 공유폴더 (SMB)에 공유되어 있던 파일들은 모두 감염이 된다.

 

 

일단 이 글을 검색해서 들어오게 됬다면. 안좋은 결과물의 해결책을 위해서 들어왔다고 생각된다.

 

 

결론부터 말하자면 파일복구는 가능한가?

 

- 가능하다. 하지만 복불복이다.

 

암호화 해독을 할수 있는 업체에게 의뢰해야 하는가?

 

- 아니다. 그들도 똑같이 해커에서 비트코인을 입금한 이후 결과물을 받아 해독할것이다.

  ( 암호화를 해독하는건 현재 전세계적으로 불가능하다.)

 

가장 좋은방법은 무엇인가?

 

- 본인이 비트코인에 대해서 알고 있다면 비트코인을 구매해서 해커에게 비트코인을 송금하고 결과파일을 받는것이다.

 

 

비트코인만 입금하면 무조건 파일복구를 할수 있는가?

 

 

- 아니다. 이건 .. 해커에 따라 다르다 보통은 파일을 주지만 그렇지 않는 경우도 있다고 한다.

  필자가 약.. 20~30건정도 랜섬웨어 치료를 하였으나 지금까지 복구파일을 못받은 적은 없다.

 

 

 

 

최근에 들었다 .. 필자가 최근에 랜섬웨어 복구한 업체가 있는데. 수도권에 있는 업체에서 내려와

 

복구비용은 1000만원 가량이며 시일은 1주~2주정도 걸릴수 있다. 이 비용은 암호화 해제하는

 

엔지니어들의 기술비용이라고 하였다.

 

 

 

해당건 필자는 140만원 정도에 해결되었다.

 

 

랜섬웨어를 틈타 틈새시장을 노리는 업자들이 많은것 같다..

 

 

 

부디.. 현명한 선택들 하시기를...

 

혹시 랜섬웨어에 관해 파일복구가 필요하다면 연락주세요. 

 

터무니없는 업체가격에 휘둘리지 마세요 ^^

 

 복구관련문의 긴급통화 010-9911-1008

랜섬웨어 복구

 

 

 

 

일부 블로그와 싸이트에보면 랜섬웨어 치료에 관련된 글들이 많은데.

 

데이터 암호화 해제 값을 생성하는것은 과학적으로 불가능하다

아니 가능은 하나 시간이 무한한 시간이라 거의 불가능이라 판단한다.

 

차라리 해커에게 빠른시간내에 비트코인을 입금해서 복호화 파일을 얻는편이 더 빠르다.

 

비트코인 구매와 랜섬웨어 복구에 관련해서 정확한 답변을 알고 싶다면 7petabyte@gmail.com 로

메일 주시면 답변드리겠습니다.

 

복구사례 10건정도 됩니다.

 

알약 및 V3 설치시 자동복구프로그램 설치되는데 삭제방법은
home 버튼 입력창에서

컨트롤 알트 백스페이스버튼 입력후

비밀번호는 0000 비번이 맞지않을시

1666-3772로 연락후 비번 받아야함 .

 

 

ws2help.dll

 

unknown Hard error C000021a

C:\windows\system32\ ws2help.dll 파일의 바이러스 감염으로 발생되는 블루스크린 입니다.

 

기본적으로 ws2help.dll 파일만 복구해주면 바로 사용가능하게 됩니다.

#주의사항 windows 프로페셔널 모델만 해당하는 ws2help.dll 파일음. 홈프리미엄의 경우 해당하는 파일을 구하셔서

작업하셔야 합니다.

 

 해결방안

- 가상부팅으로 해당 루트 파일 변경
- windows xp cd 로 부팅이후 복구콘솔로인한 파일 변경
 

'AS관련자료 > 바이러스' 카테고리의 다른 글

랜섬웨어 복구  (0) 2016.04.07
알백 삭제방법 V3 복구 삭제방법  (0) 2014.01.23
wshtcpip.dll 파일 바이러스 감염  (0) 2013.10.22
알약실행이 안될때  (0) 2013.10.22
V3 실행이안될때  (0) 2013.10.22

wshtcpip.dll

 

ip 할당 불가 및 인터넷은되나 익스플로러 웹페이지 표시할수 없음등 오류.
정상용량은 19.0KB ~ 20.0KB
수정된 날짜가 최신을 경우 감염된 경우임.
해당파일 변경 또는 바이러스 치료 하면 해결됨.
변경시 윈도우 상태에서는 기존의 wshtcpip.dll 파일의 이름을 wstcpipdsad.dll 이런식으로
변경한다음 해당파일을 넣으신후 재부팅하면 해결됨. 이후 파일명 변경한파일 삭제해도됨.

알약을 실행하였을 때, 업데이트 창이 나타났다가 바로 사라지거나 알약 창 실행이 안 되는 경우는
백신프로그램 실행을 방해하는 악성코드에 감염된 경우일 수 있습니다.

아래 전용 백신 다운로드를 클릭하여 저장해 줍니다.
저장 한 ALYacRemovalTool(Anti_AVKiller) 전용백신을 실행하여 검사 및 치료해 줍니다.



치료 후 컴퓨터 재 부팅해 주시고 이후 알약이 실행된다면,
바로 정밀검사해 주시기 바랍니다.

혹, 위의 안내된 ALYacRemovalTool - Anti_AVKiller 전용백신이 정상적으로 실행되지 않고
응용프로그램 오류가 발생하는 경우,
아래의 vcredist_x86.exe 를 설치하신 후 다시 전용백신을 실행해 보시기 바랍니다.

[vcredist_x86.exe] 다운로드

전용백신 다운로드 시 하얀창만 뜨는 경우 해결방법 보기

위의 전용백신으로 검사 및 치료 후에도 알약이 정상적으로 실행되지 않는다면
해당 증상이 있는 PC에서, 아래의 신고하기 전용 프로그램으로 신고해 주시기 바랍니다.
아래의 신고하기 전용 프로그램으로 신고해 주시면 분석 후 기재해 주신 이메일로 회신 드리겠습니다.




위의 신고하기 전용 프로그램 역시 실행되지 않는다면
저희 알툴즈 고객센터로 전화주시기 바랍니다.

알툴즈 고객센터 ☎ 1544-8209


-- v3 실행이 안되요 해결방법



 




위에 보이는 v3 홈페이지에 들어가서...

v3 gamehack kill이라는 프로그램을 받아서 치료하시면 됩니다.

※ v3 gamehack kill 사이트- http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105







위에 표시된 아이콘은 v3 gamehack kill 아이콘 모습입니다.

위의 아이콘을 눌러서 실행하여 주시면 됩니다.







프로그램을 실행하신후에 검사를 눌러 진행하여 주세요







검사 소요시간이 상당히 소요됩니다.
감염된 파일 루트는 windows/system32/ws2help.dll 파일입니다.
이외의 추가적으로 감염된 파일이 있으니 기본적으로 안전모드에서 검사하셔야
확실히 바이러스를 퇴치하실수 있습니다.
이번 주말을 이용한 중국발 온라인 게임 계정 정보를 수집하는 악성 파일 유포 중 루트킷(Rootkit) 방식으로 감염되어 자신을 보호할 목적으로 5초 간격으로 악성 파일을 복구하는 방식이 확인이 되었습니다.

현재 언론사 사이트를 통해 유포 중인 것으로 확인이 되고 있으며 최종 파일(MD5 : 583cc2f86f03ac02891bb70fc1bcc434)을 이용하여 감염으로 인하여 백신 프로그램의 치료가 어려운 경우 수동으로 문제를 해결할 수 있는 방법을 살펴보도록 하겠습니다.

참고로 해당 최종 설치 파일에 대해서는 알약(ALYac) 보안 제품에서 Trojan.Dropper.OnlineGames.au32 (VirusTotal : 3/42) 진단명으로 진단되고 있습니다.

MD5 : 583cc2f86f03ac02891bb70fc1bcc434

또한 최종 파일은 "Tencent Technology(Shenzhen) Company Limited" 디지털 서명이 포함되어 있는 것이 특징입니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\version.dat
C:\WINDOWS\winurl.dat

C:\WINDOWS\olesau32.dll
 - MD5 : 1e64f28c076c8db5216efdaa04a6e5cb
 - 알약(ALYac) : Spyware.OnlineGames.au32 (VirusTotal : 11/42), avast! : Win32:OnLineGames-GGI [Trj]

C:\WINDOWS\system32\drivers\ahnurl.sys
 - MD5 : f386663eb8a0bf17ad4bb89d7ff4992c
 - AhnLab V3 : Win-Trojan/Rootkit.28928.B (VirusTotal : 5/43), 알약(ALYac) : Trojan.Rootkit.LoaderA

C:\WINDOWS\system32\olesau32.dll
 - MD5 : 1e64f28c076c8db5216efdaa04a6e5cb
 - 알약(ALYac) : Spyware.OnlineGames.au32 (VirusTotal : 11/42), avast! : Win32:OnLineGames-GGI [Trj]

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AHNURL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnurl

해당 악성 파일은 윈도우 탐색기를 이용해서는 파일을 찾을 수 없는 루트킷(Rootkit) 방식으로 등록되어 있으며, 감염시 알약(ALYac), AhnLab V3, 네이버 백신(Naver Vaccine) 보안 제품의 자체 보호 기능이 비활성화 상태인 경우 백신 프로그램이 삭제되거나 비정상적인 동작을 할 수 있습니다.

감염이 성공적으로 이루어지면 일정 시간 경과 후 홍콩(HongKong)에 위치한 ovyba.com(112.121.187.4) 서버로 설치 정보를 전송하는 것으로 보입니다.

감염된 상태에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 "C:\WINDOWS\system32\olesau32.dll" 악성 파일을 추가하여 다음과 같은 악의적인 기능을 담당합니다.

참고로 "C:\WINDOWS\system32\olesau32.dll" 파일의 경우에도 "Sogou.com" 디지털 인증서를 포함하고 있는 것을 확인할 수 있습니다.
◆ 온라인 게임 목록 : 리니지(Lineage), 메이플스토리(MapleStory), 던전 앤 파이터(DNF), 피망(PMang), 한게임(Hangame), 넷마블(NetMarble) 등

(예) 한게임(Hangame) 로그인 시도시

사용자가 국내 특정 온라인 게임에 접속하여 로그인을 시도할 경우 관련 계정 정보(아이디(ID), 비밀번호 등)가 외부로 전송되는 것을 확인할 수 있습니다.

문제는 해당 악성 파일을 사용자가 수동으로 삭제를 하려고 할 경우 5초 단위로 자신을 쓰기(Write)하는 자체 보호 기능으로 인하여 삭제된 파일이 재생성되는 것을 확인할 수 있었습니다.

그러므로 윈도우 정상 모드에서는 수동으로 삭제가 불가능하며, 안전 모드로 접속하여 수동 삭제를 진행하시기 바랍니다.

(1) 루트킷(Rootkit) 진단 프로그램 GMER 프로그램을 다운로드합니다.

(2) 컴퓨터 전원을 넣고 F8 기능키를 연타로 눌러 시스템 시작시 안전 모드로 접속합니다.

Windows 고급 옵션 메뉴 선택 화면에서 방향키를 이용하여 "안전 모드"를 선택하시기 바랍니다.

다음 단계에서 시작할 운영 체제를 선택하여 Enter 키를 클릭하시기 바랍니다.

다음 단계에서는 안전 모드로 작업을 진행하기 위하여 "예" 버튼을 클릭하시기 바랍니다.

(3) 다운로드한 GMER 프로그램을 실행하여 다음의 절차에 따라 악성 파일을 삭제하시기 바랍니다.

"Services" 탭을 선택하여 "ahnurl - Auto - \??\C:\WINDOWS\system32\drivers\ahnurl.sys" 항목을 선택한 후, 마우스 우클릭을 통해 생성된 하위 메뉴 중 "Delete ..." 값을 선택하여 등록된 서비스를 삭제하시기 바랍니다.

삭제를 진행하면 그림과 같은 "C:\WINDOWS\system32\drivers\ahnurl.sys" 파일을 삭제할 것인지 묻는 창이 생성되므로 "예" 버튼을 클릭하시기 바랍니다.

"Files" 탭으로 이동하여 "C:\WINDOWS, C:\WINDOWS\system32" 폴더에서 각각 olesau32.dll 파일을 찾아 선택하신 후, 우측의 "Delete" 버튼을 클릭하여 파일을 삭제하시기 바랍니다.

(4) GMER 프로그램을 종료한 후 시스템 재부팅을 통해 정상 모드로 윈도우에 진입하여 다음의 파일을 추가적으로 삭제하시기 바랍니다.
  • C:\WINDOWS\version.dat
  • C:\WINDOWS\winurl.dat

모든 작업이 완료된 후에는 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 통해 추가적인 검사를 하시는 것이 안전합니다.

해당 악성 파일에 감염된 사용자 PC는 윈도우 보안 업데이트, Adobe Flash Player, Oracle Java 프로그램이 최신 버전이 아닌 환경에서 유포 사이트에 접속하여 자동으로 감염되었으므로 반드시 모든 보안 업데이트를 최신으로 유지하시고 인터넷을 이용하시기 바랍니다.

'AS관련자료 > 바이러스' 카테고리의 다른 글

unknown Hard error C000021a  (0) 2013.10.23
wshtcpip.dll 파일 바이러스 감염  (0) 2013.10.22
알약실행이 안될때  (0) 2013.10.22
V3 실행이안될때  (0) 2013.10.22
ahnsys.dll 바이러스  (0) 2012.08.24

ahnurl.sys(Win-Trojan/Avkill.37760), 이 바이러스에 감염되면 윈도우 바탕화면까지 나오고 곧바로 블루스크린이 뜨는데, 일반적인 블루스크린 증상과는 다르게 컴퓨터가 바로 먹통이 되는 것이 아니라 아래 그림에 표시한 것처럼 메모리 덤프가 진행된 후 시스템이 재부팅되고 다시 부팅 메뉴 화면이 나타나게 됩니다.

현재까지 나타나는 증상들을 보면 대부분 안전모드 부팅은 가능한 것 같습니다.
하지만, 안전모드에서도 바이러스 백신프로그램이 제대로 작동하지 못하기 때문에 바이러스를 치료할 수 없고 수동으로 바이러스 파일을 삭제해야 한다고 합니다.

다행한 것은 제가 오늘 이런 증상의 컴퓨터를 점검해보니 굳이 수동으로 바이러스 파일을 제거하지 않고도 치료가 가능했는데, 방법은 윈도우 부팅 시 강제로 부팅 메뉴를 호출하여 부팅 메뉴 중에서 '마지막으로 성공한 모드'로 부팅하면 백신프로그램이 정상 작동하였으며, 바이러스 치료도 가능했습니다.

물론 컴퓨터 상태에 따라서 안 될 수도 있겠지만, 이 증상이 나타나면 부팅 시 키보드 F8 키를 계속 두들겨서 '마지막으로 성공한 모드'로 부팅하여 바이러스 검사를 해보고 그래도 안 될 경우에 수동으로 바이러스 파일을 제거해도 될 것 같습니다.

v3lite로 검사했을 때 치료한 파일 이름과 경로는 아래와 같습니다.

c:/windows/system32/olesau32.dll
c:/windows/system32/drivers/ahnurl.sys

현재까지 알려진 수동으로 지워야할 파일과 레지스트리 삭제 경로는 아래와 같습니다.
c:/windows/olesau32.dll, c:/windows/version.dat,c:/windows/winurl.dat,c:/windows/system32/olesau32.dll,c:/windows/system32/drivers/ahnurl.sys

시작- 실행 - regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnurl (삭제)

+ Recent posts