PETABYTE

윈도우7 엔터입니다.

ko_windows_7_enterprise_k_with_sp1_x64_dvd_621211

Windwos 7 Enterprise 정품 오리지날 이미지 입니다.

다운로드 <- 클릭. 암호는 댓글로 문의하시면 답변드립니다.

window7 usb.zip

Windows7 설치 USB 만들기

첨부파일을 다운로드하여 Windows 7 USB DVD 다운로드 도구 를 먼저 설치합니다.

방법은 간단합니다.

하기의 그림처럼 4단계를 진행하시면 완료됩니다.

Windows 7 Iso 파일이 필요하시다면

다음 포스트글로 이동하시면 됩니다.

윈도우7iso다운로드글로이동하기

ko_windows_xp_professional 정품 ISO 입니다.

MSDN 정품이며 볼륨라이센스 입니다.

ko_windows_xp_professional_k_with_service_pack_3_x86_cd_vl_x14-87427

다운로드를 원하시는분은 아래의 다운로드 버튼을 눌러주세요.

다운로드 <---

최근 유행하는 랜섬웨어 crypt 3.0 의 경우 해커에게 비용을 입금하고도

복호화가 불가능한경우가 많이 있습니다.

이미 해커에게 비용을 입금하였다면 도움드릴수 있으니 연락주시기 바랍니다.

crypt 랜섬바이러스 error = -4 오류 의 경우는 암호가 다르기때문에 나오는

오류이며 복구확률이 높은 편입니다.

최근들어 crypt 3.0 의경우 해커에게 비트코인을 입금하고도 실패하는 경우가 있습니다.

이미 해커에게 비용을 입금하였고 암호화키를 받았는데 암호화키로 진행이 불가하신

분께서는 연락주시면 도움 드리도록 하겠습니다.

국내에 많은 피해를 입힌 테슬라크립트 랜섬웨어개발자가 마스터키를 공개했습니다.　　　　　　　　　　　　　　　　　

　　　　　　　　　　　　               <결재 관련 페이지 접근시 보여지는 화면>  

마스터키 : 440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

해당 마스터키를 이용하면 테슬라 크립트 계열의 암호화된 파일을 복호화 할 수 있습니다.
파일 확장자가 ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, xxx, ttt, micro, mp3 이거나 확장자 미변조 테슬라계열일 경우 대부분 복호화가 가능합니다.

또한 테슬라크립트 전문가인 BloodyDolly가 사용하기 편리한 복호화 툴을 개발하여 공개하였습니다.   

TeslaDecoder 다운로드

아래는 툴을 사용하여 복호화 하는 방법입니다.  

※ 주의 : 해당 내용 및 첨부파일은 참고 자료일 뿐 다운로드 및 사용 등은 개인이 스스로 판단해서 진행해야 하는 부분이므로 진행 중 발생할 수 있는 데이터 손실 등의 피해에 대한 책임은 진행한 개인에게 있습니다.

[진행방법]
1. 먼저 다운로드 받은 파일의 압축을 푼 뒤, TeslaDecoder.exe 파일을 실행시킵니다.

2. Set Key버튼을 클릭하고 자신이 감염되었던 랜섬웨어 파일 확장자를 선택합니다. 파일 확장자가 그대로인 경우 (as original)을 선택하세요.

 

3. 원하는 확장자를 선택한 후 Set Key 버튼을 선택해주세요. 

4. Decrypt folder 버튼을 눌러 랜섬웨어로 변조된 파일이 있는 폴더를 선택해 주거나 Decrypt all 버튼을 눌러 전체 암호화 파일에 대한 복호화를 진행할 수 있습니다.

5. 파일을 복호화 하는 과정에서 암호화된 파일을 삭제할지 여부를 선택할 수 있습니다. 삭제를 할 경우 복호화 진행중에 문제가 생겼을 경우 다시 시도할 수 없기 때문에 하드디스크의 여유공간이 있다면 가급적 아니오를 선택하세요.

6. 복호화가 완료된 파일의 모습입니다. mp3로 암호화 되었던 JPG이미지 파일이 원래대로 돌아왔습니다.

해당 복호화 프로그램을 사용하여도 복호화가 정상적으로 이루어 지지 않을 수 있습니다. 

이 경우 랜섬웨어가 테슬라크립트 계열이 아니거나, 위에 언급한 마스터키에 해당하지 않는 버전일 수 있습니다.
해커가 무료로 마스터키를 배포하는 상황을 보면서 일단 암호화되서 안풀리는 파일이 있더라도 보관하는 것이 좋을 것 같습니다.
 

[출처]

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

해당해독키는 crypt를 지원하지 않습니다.

                [ 2.0버전 결제화면 접속 페이지 ]                        [ 3.0버전 결제화면 접속 페이지 ]​

                      [ 2.0버전 결제화면 ]​                                                  [ 3.0버전 결제화면 ]​​

 침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 crypt로 변경

• 파일을 암호화한 폴더내에 2~3개의 파일을 생성 (!Recovery_[ID].*, [ID].*)​

• 바탕화면을 랜섬웨어 ​결제 안내 화면으로 변경

• 실행파일(.exe)이 아닌 dll 파일 형식으로 유포

• ​사용자 정보를 탈취(브라우저, 메일 클라이언트, 쿠키 데이터, FTP계정 등) 

2.0버전/3.0버전의 차이점

• 결제 화면 UI 변경 및 개선(500KB 이하 파일 1개 복원 테스트 가능)

•​ 다국어 지원(기존 11개 → 변경 후 25개, 한국 포함)

•​ 업데이트 이후 Kaspersky lab 복호화프로그램으로 복원 불가능

•​ 업데이트 이후 해커에게 비용을 지불하여도 복원 불가능​

연혁

• 2016년 4월 CryptXXX

• 2016년 5월 CryptXXX2.0​

• 2016년 5월 CryptXXX3.0​​

복원방법

•​ 해커에게 비용 지불 복원 불가능(권장사항 아님)   

•​ Kaspersky lab 보안회사가 개발한 복호화 프로그램으로 복원 불가능(5/20)   

Linux 부팅과정입니다.

Windows 서버 2012에 간단하게 티밍을 걸어서

확인해야 할 작업이 생겼다.

테스트 OS : Windows Server 2012 R2 64bit

Windows Server 2012는 OS에서 티밍을 지원하기 때문에 

간단하게 설정할 수 있다.

Windows Server 2008 처럼 드라이버를 설치하고 할 필요가 없다.

1. 서버관리자 - 로컬 서버에서 NIC 팀 사용 안 함을 클릭한다.

2. NIC 팀 창이 뜬다.

어탭터 및 인터페이스 항목에서 네트워크 어댑터 탭에 서버에 설정한 이더넷을 볼 수 있다.

3. 티밍으로 묶고자 하는 이더넷을 선택하고 오른쪽 마우스를 클릭하여 새 팀에 추가 버튼을 클릭한다.

4. 새 팀을 설정할 수 있는 창이 뜬다.

팀 이름을 적절하게 입력한다.

추가 속성을 클릭하면

5. 아래와 같은 화면이 뜬다.

디폴트 값은 팀 구성 모드 : 독립 전환

부하 분산 모드 : 동적

6. 확인을 클릭하고 조금만 기다리면 아래 화면처럼 Team0에 포함된 이더넷의 상태가 활성으로 올라온다.

7. 팀 인터페이스 탭에서 설정한 Team0의 상태를 볼 수 있다.

8. 마지막으로 Team0의 아이피 주소 및 서브넷마스크, 게이트웨이등을 입력해주면 된다.

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 crypt로 변경

• 파일을 암호화한 폴더내에 2~3개의 파일을 생성 (de_crypt_readme.*, !Recovery_[ID].*)​

• 바탕화면을 랜섬웨어 ​결제 안내 화면으로 변경

• 실행파일(.exe)이 아닌 dll 파일 형식으로 유포

• ​사용자 정보를 탈취(브라우저, 메일 클라이언트, 쿠키 데이터, FTP계정 등) 

연혁

• 2016년 4월 CryptXXX

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)   

•​ Kaspersky lab 보안회사가 개발한 복호화 프로그램으로 복원가능

​[복호화 프로그램 개발 이후 랜섬웨어가 업데이트되어 업데이트 전 버전만 복원가능,

공용(public)폴더- 업데이트 전(감염) / 업데이트 후(감염X)] 

→ CryptXXX 복호화 방법 바로가기

내용 출처 : 하우리 보안이슈 분석

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

※ 위 사항들은 기존 랜섬웨어 침투 방식이며, 해당 랜섬웨어는 정보 수집이 미비하여 미확인

피해 범위

• PC에 연결된 자주 사용되는 파일(zip, rar, xlsx, xlsb, xlsm, doc, docx, docm, pdf, txt, 

jpg, jpeg, sql 외 10여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징 

• 파일의 확장자를 R5A로 변경

• 암호화한 파일명을 숫자로 변경(1.R5A, 2.R5A..)​​

• 암호화 후 공용(public)폴더 내 암호화 실행파일, 암호화한 파일목록 등을 생성

연혁

• 2016년 1월 7ev3n

• 2016년 4월 7ev3n-HONE$T​

복원방법

•​ 해커에게 비용 지불 복원 미확인(권장사항 아님)   

내용 출처 : http://www.bleepingcomputer.com/news/security/the-7ev3n-honest-ransomware-encrypts-and-renames-your-files-to-r5a/

crypt 랜섬웨어에 관련되어 카스퍼스키가 복구툴을 공개하였습니다.

실제 crypt걸린 몇몇파일들을 추출하여 복구 실행하였을때 약20% 파일들이

복구에 성공하였습니다.

글로벌 보안 업체인 카스퍼스키 랩(Kaspersky Lab)에서 CryptXXX 랜섬웨어를 복호화 하는 프로그램를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

본 과정은 CryptXXX(.crypt)만 적용되며, 이외에 다른 랜섬웨어는 적용되지 않습니다.
암호화된 파일과 원본파일을 통해 키를 추출하여 복호화하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다. 
본 과정은 카스퍼스키 랩에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.  

(출처: http://support.kaspersky.com/viruses/utility)

​ 복호화 진행절차

 1. 바탕화면에 decrypt 폴더 생성

2. RannohDecryptor 다운로드

→ http://support.kaspersky.com/viruses/utility​ 접속 후 RannohDecryptor Version 1.9.0.0 EXE 파일 다운로드

→ 사용자 라이센스 동의창이 뜨며, 프로그램은 영구적으로 제공하지만 해당 프로그램에 대한 기술지원과 책임은 

지지 않겠다라는 내용과 프로그램 수정 및 분석 등으로 권리를 침해하면 안된다라는 내용이 명시되어 있습니다.

→ 사용자 라이센스 동의 내용에 동의할 경우 I accept the terms in End User Agreements(사용자 라이센스 동의) 

항목에 체크 후 활성화된 Download 클릭

→ 다운 받은 rannohdecryptor.exe 파일을 저장하여 바탕화면 decrypt 폴더로 이동

3. 복호화 시 필요한 원본/감염 파일 가져오기​

→ crypt로 확장자가 변조된 파일과 같은 원본 파일을 decrypt 폴더로 이동

※ 확장자가 같더라도 변조된 파일과 원본이 같은 파일이어야 프로그램이 실행되기 때문에 변조된 파일의 원본이

  없다면 사진 샘플 폴더(C:UsersPublicPicturesSample Pictures)​의 jpg 파일들을 이용하여 복호화가 가능합니다. 

※ 테스트 결과, 복구 시 사용된 원본파일 용량 이상의 파일은 해독이 불가능합니다. Sample music 폴더에 있는 mp3 파일 

이용 시 사진보다 더 높은용량의 파일 복구가 가능합니다. 또한 사용자 본인이 백업해놓은 더 큰 용량의 원본파일이 있다면 

해당 파일로 진행하시면 더 성공적인 복원을 하실 수 있습니다.​

4. 복호화 프로그램(decrypt_nemucod.exe) 실행 

→ Start scan 버튼을 클릭하여 감염파일 복원을 진행합니다.

※ ​해당 프로그램으로 정상적인 복원이 되지 않을 수도 있으며, 정상적인 작동 여부를 확인하기 위해 일부 파일로 

먼저 진행해보는게 좋다고 메시지창 하단에 명시되어 있습니다. 꼭 일부 파일의 복사본으로 진행하시거나 백업본을 

만드신 후 진행하시기 바랍니다.

  - change parameters : 복원진행 시 옵션을 선택합니다.

→ change parameters 클릭 시 Settings 창이 뜨며, 옵션을 선택할 수 있습니다.

  - Objects to scan : 복원할 파일 스캔 시 하드디스크, 이동식디스크, 네트워크 드라이브 중 체크된

    항목에 대해서만 진행합니다.

  - Additional options : 항목에 체크 시 복원 후 감염된 crypt 파일을 삭제합니다.

→ Start scan​ 버튼 클릭 시 파일 선택창이 나옵니다. 감염된 crypt 파일을 선택합니다.

→ 성공적인 복원을 위해 crypt 파일의 원본 파일을 지정해야 한다고 명시되어 있습니다. Continue 버튼을 클릭

하여 계속 진행합니다.

→ 원본 파일을 선택합니다.​

→ 복원이 진행되며 Object 에서 현재 Decrypted되는 파일 경로를 보여줍니다.

​→ 복원이 완료되면 Scan completed로 메시지가 바뀌며, 암호화된 파일개수와 복원된 파일개수가

명시됩니다.(해당 프로그램은 지정한 원본파일 용량 이상의 파일은 복구되지 않습니다.)

 - Report : 복원 로그를 보여줍니다.

 - details : 복원이 진행된 파일들의 경로와 결과를 보여줍니다.

→ Report 클릭 시 화면​

→ details 클릭 시 화면​

이방법으로해도 안되신다면 신종유형입니다.

보통 비트코인을 입금하고 진행하는것이 가장 빠르며

비트코인 구매관련해서 업체를 대행하게되면 수수료가 20~30만원선이 넘습니다.

필자의경우 수수료 5만원 정도로 진행해드리니 도움이 필요하시면 연락주시기 바랍니다.

긴급연락처 : 010-9911-1008

리눅스 shell 명령어

예시

#!/bin/sh        
str="hello I am variable"
echo $str           => hello I am variable
echo "$str"         => hello I am variable
echo '$str'          => $str
echo \$str         => $str
echo "input text" => input text
read str
echo 'str' is $str
exit 0

#!/bin/sh
echo 'What is your name?'    // 질문문 이름이 무엇이지 물어보는 문장
read yourname                // 입력한 값을 읽어들임
if [ $yourname = "Tom" ]    //  탐과 일치하는지 확인
then                        // 일치하면
    echo "You are Tom."     // 탐값을 출력
else                        // 아니라면
    echo "You are not Tom." // 탐이 아니라는 값을출력
fi
exit 0

##패스워드 만들기

#!/bin/sh
echo -n "Input Password :"  # 패스워드 문의
read pawd                   # pawd 변수
while [ $pawd != "1234" ]   # 1234 가 맞으면 참값출력
do
 echo -n "Input Password :" # 틀리면 다시 반복
 read pawd
done
echo "OK"                         # 참값 출력
exit 0

랜섬웨어 복구비용 알아보기

해당글은 랜섬웨어에 2차 피해자를 줄이기 위해 포스팅된 글입니다.

당신의 파일이 확장자와 파일이름이

이상하게 변조되었다면..
당신은 불행이도 랜섬웨어에 감염된 것입니다.

주로 확장자는 crypt 나 cerber 등 다양한 확장자 등이 있습니다.

랜섬웨어에 감염된후 GoldenTime 은 3일입니다.

3일이 경과한이후는 복구비용이 2~3배로 올라간다.

이제 선택할수 있는 부분은 2가지 입니다.

1. 파일을 포기하고 PC를 포멧하거나 바이러스를 치료

2. 해커에게 bitcoin을 입금하고 복호화 프로그램을 받는것.

필자는 중요한 자료가 아니고 5년정도 후에라도 파일이

복구되어도 관계없다면 1번을 권장한다.(자료는 삭제하지말고 반드시 백업해놓을것)

**추후에 복호화파일이 무료로 공개되는경우들이 있습니다**

2번은 정신적 스트레스가 따라올수 있으니

정말 중요한 자료가 많다면 선택해야하는 길입니다.

2번을 선택하였다면 필자가 올려놓은 포스팅파일을 통해

bitcoin부분을 먼져 확인해보기 바랍니다.

http://peta-byte.net/167

업체를 통해서 진행한다면.. 판단을 잘하셔야 합니다.

업체의경우 절대로 암호를 해독하는것은

불가능 합니다.

랜섬웨어의 경우 128bit 이상의 암호화 기술이기때문에

암호를 해독한다는것 자체는 절대 불가능합니다.

전세계적으로  유행하는 바이러스 이므로 국내에서 자체기술만으로 해독한다는 것은 모두 허위광고 입니다.

보통 모든 업체가 해커에게 bitcoin을 입금하고

자기들이 직접 해독한것처럼하여

비트코인복호화비용보다 비싼 금액을

요구하는 경우가 많습니다.

실패시 환불해준다는 업체도 있다고 하던데

실제로 실패시 소비자 과실로 돌리는 경우가 많다고하니

주의를 기울여야 할것입니다.

정말 해독하고 싶다면 bitcoin 입금하는 방법을

검색하여 찾는길이 가장 저렴하며

정말 어렵고 힘들다 싶으신분들은

주저없이 연락주시기 바랍니다.

부디 업체로부터 피해를 입는 분들이

많지 않기를 기원합니다.

선택은 본인의 몫 입니다.

긴급지원 연락처 : 010-9911-1008

복구파일의뢰 : 7petabyte@gmail.com

해커로부터 파일 1개는 공짜로 해독이 가능합니다.

정말 필요한 파일 1개만 해독하고 싶다면

무료로 지원해드리니 연락주시기 바랍니다.

해커가 제공하는 복화화 파일은 다음 그림들과 같습니다.

crypt 복호화 해제 프로그램

cyber 복호화 해제 프로그램

해당글은 랜섬웨어에 광고글이 아닌 필자가 2차피해자를

줄이기위해 포스팅한 글입니다.

당신의 파일이 확장자와 파일이름이

이상하게 변조되었다면..

당신은 불행이도 랜섬웨어에 감염된 것이다.

주로 확장자는 crypt 나 cerber 등 다양한 확장자 등이 있다.

랜섬웨어에 감염된후 GoldenTime 은 3일이다.

3일이 경과한이후는 복구비용이 2~3배로 올라간다.

이제 선택할수 있는 부분은 2가지 입니다.

1. 파일을 포기하고 PC를 포멧하거나 바이러스를 치료

2. 해커에게 bitcoin을 입금하고 복호화 프로그램을 받는것.

필자는 중요한 자료가 아니고 5년정도 후에라도 파일이

복구되어도 관계없다면 1번을 권장한다.

2번은 정신적 스트레스가 따라올수 있으니

정말 중요한 자료가 많다면 선택해야하는 길입니다.

2번을 선택하였다면 필자가 올려놓은 포스팅파일을 통해

bitcoin부분을 먼져 확인해보기 바랍니다.

http://peta-byte.net/167

업체를 통해서 진행한다면..

업체의경우 절대로 암호를 해독하는것은

불가능 합니다.

랜섬웨어의 경우 128bit 이상의 암호화 기술이기때문에

암호를 해독한다는것 자체는 절대 불가능합니다.

전세계적으로  유행하는 바이러스 이므로 국내에서 자체기술만으로 해독한다는 것은 모두 허위광고 입니다.

보통 모든 업체가 해커에게 bitcoin을 입금하고

자기들이 직접 해독한것처럼하여

비트코인복호화비용보다 비싼 금액을

요구하는 경우가 많습니다.

실패시 환불해준다는 업체도 있다고 하던데

실제로 실패시 소비자 과실로 돌리는 경우가 많다고하니

주의를 기울여야 할것입니다.

정말 해독하고 싶다면 bitcoin 입금하는 방법을

검색하여 찾는길이 가장 저렴하며

정말 어렵고 힘들다 싶으신분들은

주저없이 연락주시기 바랍니다.

부디 업체로부터 피해를 입는 분들이

많지 않기를 기원합니다.

선택은 본인의 몫 입니다.

긴급지원 연락처 : 010-9911-1008

복구파일의뢰 : 7petabyte@gmail.com

해커로부터 파일 1개는 공짜로 해독이 가능합니다.

정말 필요한 파일 1개만 해독하고 싶다면

무료로 지원해드리니 연락주시기 바랍니다.

해커가 제공하는 복화하 파일은 다음 그림들과 같습니다.

crypt랜섬웨어 복호화 프로그램 입니다.

cerber 복호화 프로그램 입니다.

랜섬웨어복구비용 알아보기.

현재 랜섬웨어에 감염되었다면 선택할수 있는 방법을 두가지로 나눌수 있습니다.



1. 복구비용을 확인해서 최대한 저렴하게 복구하는방법.

2. 암호화가 걸린 데이터를 영구적으로 백업해놓은상태에서 PC를 포멧하여 사용하는방법.



1번의 경우는 업체를 통해서 진행하게되면 오히려 바가지를 쓸수 있습니다.

정확히 해커가 요구하는금액을 알고서 요청하시는것이 Point입니다.


2번의 경우는 혹시나 모를 보안업체의 암호화해제 프로그램이 무료로 배포될수 있기때문입니다.

보안업체들이 랜섬웨어에 관한 연구가 많으니.. 어쩌면 몇년후 쯤에는 당신이 걸린 랜섬웨어

파일을 복구할수 있는 해제 프로그램이 무류로 배포를 제공받을수 도 있으니. 반드시

데이터를 삭제하지 마시고 보관하시기 바랍니다.



자. 그런다면 어떻게 해커가 요구하는 금액을 알수 있는지 알아보겠습니다.

윈도우7 엔터입니다.

ko_windows_7_enterprise_k_with_sp1_x86_dvd_620514

Windwos 7 Enterprise 정품 오리지날 이미지 입니다.

다운로드 <- 클릭. 암호는 댓글로 문의하시면 답변드립니다.

grep : 특정한 내용을 탐색

예 ) grep hello abc.txt

abc.txt 파일 에서 hello 단어가 들어간 라인을 출력

예1)grep hello *

현재 경로에서 hello 단어가 들어간 파일을 찾아 출력

예2)ps -ef|grep ssh

실행된 프로세스에서 ssh 가 포함된 내용을 출력

예3)grep -wn hello abc.txt

예3-1) grep -wnv hello abc.txt

예3과 반대로 v 가 들어가게되면 hello 만 빼고난 나머지 부분을 출력

예4) grellp -l hello *

hello 가 들어간 파일명을 알고 싶을때

HP Officejet Pro 8100 e-프린터 - N811a 드라이브

HP공식 홈페이지가 간혹 다운이 안되는 경우가 있습니다.

공식 홈페이지는 : 다운로드

이며 혹시 안될경우는  다운로드  <-클릭하시여 받으시기 바랍니다.

윈도우7 암호분실시 해제방법 (윈도우7 암호삭제/암호깨기)

요즘 보안에 민감하여 윈도우 암호를 자주 바꾸곤 하는데요..

암호를 분실하는 경우가 있습니다.. 이럴때 참 난감하시죠..

다른분의 PC에 가셔서 이방법을 보시고 진행하시면 됩니다.

준비물이 필요합니다 ^^

준비물 : USB혹은 CD 와 ISO 부팅 이미지(다운로드제공)

자 방법을 잘보고 따라해보시면 아주 쉽습니다 ^^

1. 먼저 준비된 ISO 이미지로 부팅한 다음

시작버튼 -> 유틸14. 기타 -> Admin Password Resetter

를 선택합니다.

이후 다음과 같은 화면이 나타나게 되면

Step1 : 해당하는 운영체제를 선택하시면됩니다. (기본적으로 선택되어 있습니다)

Step2 : 본인의 계정명을 선택해 주도록 합니다.

##주의##

Administrator 의 계정이 아니었다면 Administrator 의 계정의 패스워드를 리셋 해버리면 로그인할때 계정이 한개 더뜨게되오니 주의하시고 선택하시기 바랍니다.

보통 Administrator 과 guest 만 있다면

Administrator 의 계정이 맞습니다.

만약 이 두개의 계정이외의 것이 있다면 그계정일 확률이 높습니다.

(예: User 등)

이후 재부팅하시면 암호가 삭제된것을 확인하실수 있습니다 ^^.

ISO파일은 하기의 다운로드 버튼을 누르시면 제공됩니다.

다운로드의 비밀번호는 댓글로 문의주시면 답변드리겠습니다.

빠른답변을 원하시면 아래의 내용을 확인하신후 카톡주세요.

다운로드

안녕하십니까, 한국정보보호산업협회입니다.

한국인터넷진흥원(KISA) 사칭 이메일이 유포되고 있어 안내드립니다.

[출처 : KISA이메일 사칭화면]

KISA를 사칭한 스피어피싱 이메일이 유포되고 있습니다.

피해확산 방지를 위해 아래 이메일을 수신시 열람하지 마시고, 즉시 삭제하여 주실 것을 요청드립니다.

감사합니다.

-----------------------------------------------------------------------

[스피어피싱 이메일 정보]

• 발신자 : jeongseon0571@daum.net,

• 이메일 제목 : [한국인터넷진흥원] 정보보안 용어모음

• 첨부파일명 : internet Security Words.hwp

랜섬웨어 란.

ransom : 파일을잡고 돈을 요구한다해서 붙은 이름이다.

이바이러스에 감염되면 공유폴더 (SMB)에 공유되어 있던 파일들은 모두 감염이 된다.

일단 이 글을 검색해서 들어오게 됬다면. 안좋은 결과물의 해결책을 위해서 들어왔다고 생각된다.

결론부터 말하자면 파일복구는 가능한가?

- 가능하다. 하지만 복불복이다.

암호화 해독을 할수 있는 업체에게 의뢰해야 하는가?

- 아니다. 그들도 똑같이 해커에서 비트코인을 입금한 이후 결과물을 받아 해독할것이다.

  ( 암호화를 해독하는건 현재 전세계적으로 불가능하다.)

가장 좋은방법은 무엇인가?

- 본인이 비트코인에 대해서 알고 있다면 비트코인을 구매해서 해커에게 비트코인을 송금하고 결과파일을 받는것이다.

비트코인만 입금하면 무조건 파일복구를 할수 있는가?

- 아니다. 이건 .. 해커에 따라 다르다 보통은 파일을 주지만 그렇지 않는 경우도 있다고 한다.

  필자가 약.. 20~30건정도 랜섬웨어 치료를 하였으나 지금까지 복구파일을 못받은 적은 없다.

최근에 들었다 .. 필자가 최근에 랜섬웨어 복구한 업체가 있는데. 수도권에 있는 업체에서 내려와

복구비용은 1000만원 가량이며 시일은 1주~2주정도 걸릴수 있다. 이 비용은 암호화 해제하는

엔지니어들의 기술비용이라고 하였다.

해당건 필자는 140만원 정도에 해결되었다.

랜섬웨어를 틈타 틈새시장을 노리는 업자들이 많은것 같다..

부디.. 현명한 선택들 하시기를...

혹시 랜섬웨어에 관해 파일복구가 필요하다면 연락주세요. 

터무니없는 업체가격에 휘둘리지 마세요 ^^

복구관련문의 긴급통화 010-9911-1008

목포랜섬웨어,여수랜섬웨어,장성랜섬웨어,장흥랜섬웨어,완도랜섬웨어,광양랜섬웨어,강진랜섬웨어,담양랜섬웨어,진도랜섬웨어,곡성랜섬웨어,해남랜섬웨어,신안랜섬웨어,영암랜섬웨어,구례랜섬웨어,고흥랜섬웨어,무안랜섬웨어,순천랜섬웨어,보성랜섬웨어,함평랜섬웨어,화순랜섬웨어,영광랜섬웨어,나주랜섬웨어

Crypted 복호화 방법

글로벌 보안 업체인 엠시소프트(Emsisoft)에서 Crypted 랜섬웨어를 복호화 하는 프로그램를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

본 과정은 Crypted(.crypted)만 적용되며, 이외에 다른 랜섬웨어는 적용되지 않습니다.
암호화된 파일과 원본파일을 통해 키를 추출하여 복호화하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다. 
본 과정은 엠시소프트(Emsisoft)가 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.  

(출처: https://decrypter.emsisoft.com/)

​ 복호화 진행절차  

1. 바탕화면에 decrypt 폴더 생성

2. Nemucod Decrypter 다운로드

→ https://www.emsisoft.com/en/​​ 접속 후 SUPPORT > Ransomware Decrypter 메뉴로 이동

→ Emsisotf Decrypter for Nemucod 글에서 DOWNLOAD 클릭

→ 다운 받은 decrypt_nemucod.exe 파일을 저장하여 바탕화면 decrypt 폴더로 이동

3. 복호화 시 필요한 원본/감염 파일 가져오기

→ crypted로 확장자가 변조된 파일과 같은 원본 파일을 decrypt 폴더로 이동

※ 확장자가 같더라도 변조된 파일과 원본이 같은 파일이어야 프로그램이 실행되기 때문에 변조된 파일의 원본이

  없다면 사진 샘플 폴더(C:UsersPublicPicturesSample Pictures)​의 jpg 파일들을 이용하여 복호화가 가능합니다.

​​4. 복호화 프로그램(decrypt_nemucod.exe) 실행 

→ 원본/감염파일을 선택하여 decrypt_nemucod.exe 파일로 드래그​합니다.

→ 선택된 파일을 통해 복호화키를 검출, 확인을 클릭하여 진행합니다.

※ ​해당 복호화키가 맞지 않을 수 있으며, 정상적인 작동 여부를 확인하기 위해 일부 파일로 먼저 진행해보는게 좋다고 메시지창 하단에 명시되어 있습니다.                  꼭 일부 파일의 복사본으로 진행하시기 바랍니다.

→ 라이센스 조건창이 뜨며, 어떠한 조건 없이 프로그램이 제공되지만 해당 프로그램과 관련하여 어떠한 경우에도 책임을 지지 않겠다라는 내용이 명시되어 있고           이에 동의할 것인지 묻고 있습니다. 진행하시려면 예를 클릭하여 계속 진행합니다.

5. 복호화 프로그램(decrypt_nemucod.exe) 기능

→ 우측 하단에 Decrypt 버튼을 클릭하여 복호화를 시작​

   - Decrypter : PC에 연결된 드라이브 목록이 보여지며, 해당 드라이브에서 감염된 파일을 복호화합니다.

   - Add file(s) :  PC 내 암호화된 파일을 추가시킬 수 있습니다.

   - Remove file(s) : 복원할 드라이브 및 파일을 복원대상에서 제거합니다.

   - Clear files : 복원된 파일 로그를 삭제합니다.

→ Decrypt 버튼을 클릭하여 복호화가 시작되면 Results에서 복원중인 파일 로그를 보여주며, 복원이 끝나면 Finished! 메세지로 알려줍니다.

   - Options : Keep encrypted files 옵션을 체크해제하면 암호화된 파일을 복원 후 삭제합니다. 

   - Save log : 파일로그를 텍스트파일로 원하는 위치에 저장합니다.

   - Copy log to clipboard : 파일로그를 복사합니다.

   - abort : 파일 복원 작업을 중단합니다.

github.com의 ‘Googulator’회원이 TeslaCrypt2.2를 복호화하는 소스를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 아직 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

'googulator'에게 감사를 표하는 바입니다.
본 과정은 TeslaCrypt2.2(.vvv, .ccc)만 적용되며 최근 유행하는 TeslaCrypt3.0(micro, ttt, xxx, zzz)는 적용되지 않습니다.
암호화된 PDF 파일에서 키를 추출하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다.
본 과정은 github.com의 Googulator의 소스로 진행하며, 방법만 제시할 뿐 암호화 되지 않거나, 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.
(원문: https://github.com/Googulator/TeslaCrack)

이번 TeslaCrypt2.2(.ccc, .vvv)복호화 방법은 Bitcoin key를 이용하여 복호화 하는 방법입니다.

이전에 올렸던 'TeslaCrypt2.2(.ccc, .vvv) 복호화방법(AES key)' 글의 <복호화 준비과정> ~ <키 추출과정> 8번까지는 공통과정 입니다.

이전에 AES key로 복호화를 시도했으나 복호화가 안되신 분은 <키 추출과정> 9번부터 진행하시면 됩니다.

​ 복호화 준비과정  

1. C드라이브에 decrypt폴더 생성

2. Python 설치

↑ https://www.python.org 접속 후 Downloads -> Windows 메뉴로 이동

↑ Lastest Python 2 Release - Python 2.7.11 클릭

↑ 본인의 OS가 64bit인 경우 ->Windows x86-64 MSI installer를 클릭하여 python-2.7.11.amd64.msi 다운로드 후 실행
↑ 본인의 OS가 32bit인 경우 -> Windows x86 MSI installer를 클릭하여 python-2.7.11.msi 다운로드 후 실행

↑ Next 클릭

↑ Next 클릭

↑ 다음과 같이 설정하고 Next 클릭

↑ Finish클릭

3. pycrypto2.6 설치

​  * 본인의 OS가 64bit인 경우 -> http://www.voidspace.org.uk/downloads/pycrypto26/pycrypto-2.6.win-amd64-py2.7.exe
  * 본인의 OS가 32bit인 경우 -> http://www.voidspace.org.uk/downloads/pycrypto26/pycrypto-2.6.win32-py2.7.exe
  * 클릭하고 다운로드하여 실행(Next만 누르시면 됩니다.)

4. 본인의 OS가 32bit일 경우 추가 설치(64bit 해당 없음)
https://www.microsoft.com/ko-kr/download/details.aspx?id=21576 접속하여 다운로드 클릭​

↑ 다운 후 설치

5. TeslaCrack 다운로드

↑ https://github.com/Googulator/TeslaCrack 접속 후 Download ZIP을 클릭하여 TeslaCrack-master.zip을 다운로드 한 다음 압축해제 하여 파일들을 C드라이브의 decrypt폴더로 이동

 
6. yafu1.34 다운로드

↑ http://sourceforge.net/projects/yafu 접속 후 Download를 클릭하여 yafu-1.34.zip 다운로드

   * yafu-1.34.zip 압축해제 후 파일들을 decrypt폴더로 이동

↑ 과정1~6 이후 C:decrypt 폴더

키 추출 과정 

※ 참고1 : 본 <키 추출 과정>은 원본파일형식이 PDF일 경우를 가정합니다.

    PDF에서 추출한 키로 다른 형식의 파일들도 복호화가 가능합니다.

   JPG나 XLSX에서 키를 추출할 경우 c:decrypt 폴더 내에 unfactor.py를 우클릭하여 ‘Edit with IDLE’를 클릭하여 magic

number를 수정해야 합니다. JPG일 경우 -> magic = 'xffxd8'입니다.

※참고2. 암호화 된 파일의 형식이 ccc일 경우 (vvv일 경우 생략)
teslacrack.py 파일을 우클릭, 'Edit with IDLE'를 클릭하여 extension을 '.ccc'로 수정합니다.

1. 시작->모든 프로그램->보조프로그램->명령프롬프트를 우클릭하여 관리자 권한으로 실행

2. c:decrypt 폴더로 이동

3. 다음 명령어를 입력
python -c "import urllib2; print urllib2.urlopen('https://bootstrap.pypa.io/ez_setup.py').read()" | python

4. 다음 명령어를 입력
easy_install pip

5. 다음 명령어를 입력
pip install pycrptodome

6. 다음 명령어를 입력
pip install ecdsa

7. 키 추출할 파일을 복사

키를 추출할 파일(암호화된 파일)을 c:decrypt 폴더로 복사합니다.​
(주의:파일이름을 임의로 영어소문자로 변경 예)2015년자료.pdf.vvv -> aaa.pdf.vvv) 

8. 다음 명령어를 입력

​python teslacrack.py .
(주의:python teslacrack.py다음 공백 그다음 마침표입니다.)

9. 결과 값에서 공개키를 추출
공개키를 메모장에 적어둡니다. 

↑ 본 과정에서 공개키는

0E57F08C415F9B796F27FAEC9DC42AF34E65BA1E383A4B899FC194D57036C2
BD4226B125C97EEFC3FE066638291A1C14F472B76DCA0F4BC9CE9DAACDB7463ABC 입니다.
​

10. 다음 명령어를 입력 (공개키에서 소인수 추출)
본인의 OS가 64bit인 경우 -> yafu-x64 factor(0x<위에서 추출한 공개키>) -threads 2
본인의 OS가 32bit인 경우 -> yafu-Win32 factor(0x<위에서 추출한 공개키>) -threads 2​

↑ 본 과정에서는 yafu-x64 factor

(0x 0E57F08C415F9B796F27FAEC9DC42AF34E65BA1E383A4B899FC194D57036C2
BD4226B125C97EEFC3FE066638291A1C14F472B76DCA0F4BC9CE9DAACDB7463ABC) -threads 2
입니다.

11. 추출된 소인수 확인
추출된 소인수 들을 메모장에 적어둡니다.

↑ 본 과정에서 소인수 들은 

  2 2 3 41 197 6359 70968389 155294899299743642489 
 1382827764863134336750390230307 2617253980438790762929403
 30557451489294449536540566155110125150974592196074835557246091​ 입니다.

12. 다음 명령어를 입력 (비밀키 추출)
python unfactor_ecdsa.py "<파일이름>“ <소인수> <소인수> .... 

↑ 본 과정에서는 python unfactor_ecdsa.py "aaa.pdf.vvv"

   2 2 3 41 197 6359 70968389 155294899299743642489
  1382827764863134336750390230307 2617253980438790762929403
  30557451489294449536540566155110125150974592196074835557246091​입니다.

13. 추출된 비밀키
추출한 비밀키를 메모장에 적어둡니다.

↑ 본 과정에서 추출한 비밀키는
65E4B63EC0FEBA0985D9367381EAD4E4D8E53052B52BF2E608BC00086B48C362 입니다.

과정 13까지 메모장에 적어둔 내용입니다.

14. TeslaDecoder 다운로드 후 압축 해제
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

로 접속하여 TeslaDecoder를 다운로드 후 압축 해제

15. TeslaDecoder 실행

TeslaDecoder를 실행 후 Set Key를 클릭 

 16. Set key 

Key(hex)에 메모장에 적어놓은 비밀키(bitcoin)을 입력하고 Extension에는 .ccc, .vvv를 선택하고

Set Key 버튼을 클릭

17. Decrypt Folder 선택

Decrypt Folder를 클릭하여 복호화 할 폴더를 선택합니다.

18. Decrypt Folder 선택

본 과정에서는 aaa.pdf.vvv가 있는 c:decrypt 를 선택하였습니다.

19. 복호화 시작

'예(Y)'를 클릭

20. 복호화 완료

C:decrypt 폴더 내에 있던 aaa.pdf.vvv파일이 복호화 되었습니다.

github.com의 ‘Googulator’회원이 TeslaCrypt2.2를 복호화 하는 소스를 공개하였습니다.  

이에 랜섬웨어침해대응센터에서는 아직 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

'googulator'에게 감사를 표하는 바입니다.
본 과정은 TeslaCrypt2.2(.vvv, .ccc)만 적용되며 최근 유행하는 TeslaCrypt3.0(micro, ttt, xxx, zzz)는 적용되지 않습니다.
암호화된 PDF 파일에서 키를 추출하는 과정이며 OS:Windows7 64bit CPU:intel-i5 RAM:8GB 환경에서 테스트하였습니다.
본 과정은 github.com의 Googulator의 소스로 진행하며, 방법만 제시할 뿐 암호화 되지 않거나, 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.
(원문: https://github.com/Googulator/TeslaCrack)

​ 복호화 준비과정  

1. C드라이브에 decrypt폴더 생성

2. Python 설치

↑ https://www.python.org 접속 후 Downloads -> Windows 메뉴로 이동

↑ Lastest Python 2 Release - Python 2.7.11 클릭

↑ 본인의 OS가 64bit인 경우 ->Windows x86-64 MSI installer를 클릭하여 python-2.7.11.amd64.msi 다운로드 후 실행
↑ 본인의 OS가 32bit인 경우 -> Windows x86 MSI installer를 클릭하여 python-2.7.11.msi 다운로드 후 실행

↑ Next 클릭

↑ Next 클릭

↑ 다음과 같이 설정하고 Next 클릭

↑ Finish클릭

3. pycrypto2.6 설치

​  * 본인의 OS가 64bit인 경우 -> http://www.voidspace.org.uk/downloads/pycrypto26/pycrypto-2.6.win-amd64-py2.7.exe
  * 본인의 OS가 32bit인 경우 -> http://www.voidspace.org.uk/downloads/pycrypto26/pycrypto-2.6.win32-py2.7.exe
  * 클릭하고 다운로드하여 실행(Next만 누르시면 됩니다.)

4. 본인의 OS가 32bit일 경우 추가 설치(64bit 해당 없음)
https://www.microsoft.com/ko-kr/download/details.aspx?id=21576 접속하여 다운로드 클릭​

↑ 다운 후 설치

5. TeslaCrack 다운로드

↑ https://github.com/Googulator/TeslaCrack 접속 후 Download ZIP을 클릭하여 TeslaCrack-master.zip을 다운로드 한 다음 압축해제 하여 파일들을 C드라이브의 decrypt폴더로 이동

 
6. yafu1.34 다운로드

↑ http://sourceforge.net/projects/yafu 접속 후 Download를 클릭하여 yafu-1.34.zip 다운로드

   * yafu-1.34.zip 압축해제 후 파일들을 decrypt폴더로 이동

↑ 과정1~6 이후 C:decrypt 폴더

키 추출 과정 

※ 참고1 : 본 <키 추출 과정>은 원본파일형식이 PDF일 경우를 가정합니다. PDF에서 추출한 키로 다른 형식의 파일들도 복호화가 가능합니다.

JPG나 XLSX에서 키를 추출할 경우 c:decrypt 폴더 내에 unfactor.py를 우클릭하여 ‘Edit with IDLE’를 클릭하여 magic

number를 수정해야 합니다. JPG일 경우 -> magic = 'xffxd8'입니다.

※참고2. 암호화 된 파일의 형식이 ccc일 경우 (vvv일 경우 생략)
teslacrack.py 파일을 우클릭, 'Edit with IDLE'를 클릭하여 extension을 '.ccc'로 수정합니다.

1. 시작->모든 프로그램->보조프로그램->명령프롬프트를 우클릭하여 관리자 권한으로 실행

2. c:decrypt 폴더로 이동

3. 다음 명령어를 입력
python -c "import urllib2; print urllib2.urlopen('https://bootstrap.pypa.io/ez_setup.py').read()" | python

4. 다음 명령어를 입력
easy_install pip

5. 다음 명령어를 입력
pip install pycrptodome

6. 다음 명령어를 입력
pip install ecdsa

7. 키 추출할 파일을 복사

키를 추출할 파일(암호화된 파일)을 c:decrypt 폴더로 복사합니다.​
(주의:파일이름을 임의로 영어소문자로 변경 예)2015년자료.pdf.vvv -> aaa.pdf.vvv) 

8. 다음 명령어를 입력

​python teslacrack.py .
(주의:python teslacrack.py다음 공백 그다음 마침표입니다.)

9. 결과 값에서 공개키를 추출
공개키를 메모장에 적어둡니다. 

↑ 본 과정에서 공개키는 66A372AEC45361D3D13E28EB9133A3CF3C22DAF18D7B2F3250044A3B1A9A207A3936BC1E9C88E5AA8666164E7196842705BE99A1F68100EBBA83E46ABAF8E5DC 입니다.

10. 다음 명령어를 입력 (공개키에서 소인수 추출)
본인의 OS가 64bit인 경우 -> yafu-x64 factor(0x<위에서 추출한 공개키>) -threads 2
본인의 OS가 32bit인 경우 -> yafu-Win32 factor(0x<위에서 추출한 공개키>) -threads 2​

↑ 본 과정에서는 yafu-x64 factor(0x66A372AEC45361D3D13E28EB9133A3CF3C22DAF18D7B2F3250044A3B1A9A207A3936BC1E9C88E

5AA8666164E7196842705BE99A1F68100EBBA83E46ABAF8E5DC) -threads 2
입니다.

11. 추출된 소인수 확인
추출된 소인수 들을 메모장에 적어둡니다.

↑ 본 과정에서 소인수 들은  2 2 3 5 7 11 13 17 19 157 1474160868811 691161619 24645257531 278661497944946419 4963077622587375846870661 4740666795454269807964691329292947688557 10720502856037624320561244521127입니다.

12. 다음 명령어를 입력 (비밀키 추출)
python unfactor_ecdsa.py "<파일이름>“ <소인수> <소인수> .... 

↑ 본 과정에서는 python unfactor_ecdsa.py "aaa.pdf.vvv" 2 2 3 5 7 11 13 17 19 157 1474160868811 691161619 24645257531 278661497944946419 4963077622587375846870661 4740666795454269807964691329292947688557 10720502856037624320561244521127입니다.

13. 추출된 비밀키
추출한 비밀키를 메모장에 적어둡니다.

↑ 본 과정에서 추출한 비밀키는
9x32xdex76x38xa7x65xc5xccx01xb2x95xfax32x78xa6x14x36xd3'입니다.
9x32xdex76x38xa7x65xc5xccx01xb2x95xfax32x78xa6x14x36xd3' (80A7
4A4C87AC4C16D902E4D5943932DE7638A765C5CC01B295FA3278A61436D3)
입니다.

teslacrack.py에 붙여넣을 부분은

b'x80xa7x4ax4cx87xacx4cx16xd9x02xe4xd5x94x3
9x32xdex76x38xa7x65xc5xccx01xb2x95xfax32x78xa6x14x36xd3'입니다.​

과정 11까지 메모장에 적어둔 내용입니다.

14. teslacrack.py 수정
추출한(메모장에 적어둔) 공개키와 비밀키를 teslacrack.py에 붙여 넣습니다.

teslacrack.py를 우클릭하여 'Edit with IDLE'를 클릭합니다.

다음과 같이 공개키와 비밀키를 입력 후 저장 후 닫습니다.

15. 다음 명령어를 입력 (복호화)
python teslacrack.py

↑ 같은 폴더 내 aaa.pdf.vvv가 복호화된 모습

(참고: python teslacrack.py <파일경로 혹은 드라이브>

예를 들어 phthon teslacrak.py c:를 입력할 경우 C드라이브의 암호화된 파일을 찾아서 전부 복호화 합니다.) 

 침투 방식

• JS.Nemucod(자바스크립트 트로이목마)다운로더를 통해 배포​

• E-Mail 첨부파일(.js) / ex) 첨부파일명: 0000282410.zip

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, ppt, pptx, jpg, psd, dwg, 

mpg, avi, mp4 외 70여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 crypted로 변경

• 파일을 암호화한 폴더내에 1개의 파일을 생성 (DECRYPT.*)

• 생성한 파일 내 웹사이트 주소는 요구 비용 지불 후 접속 가능 

연혁

• 2016년 3월 Crypted

복원방법

•​ 해커에게 비용 지불 복원 미확인(권장사항 아님)  

복구관련문의 긴급통화 010-9911-1008

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 250여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 cerber로 변경

• 암호화된 파일명을 10자리 영문+숫자+특수문자로 변경(​_ys-sX6wE0.cerber)

• 파일을 암호화한 폴더내에 3개의 파일을 생성 (# DECRYPT MY FILES #.*)

• 연결되어 있지 않은 네트워크 상태에도 공유 데이터를 암호화(Locky 랜섬웨어와 동일)

• PC에서 여성 목소리로 암호화 사실을 전달​(Attention! Attention! Attention!​ Your documents, 

photos, databases and other important files have been encrypted!) ​

연혁

• 2016년 3월 Cerber

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님) 

복구관련문의 긴급통화 010-9911-1008