PETABYTE

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 변조하지 않음(최초 CryptoWall3.0 랜섬웨어)

• 파일을 암호화한 폴더내에 3개의 파일을 생성 (RECOVER[영문 5자리].*)

• 확장자 변조가 없어 파일의 감염여부를 파악하기 어려움

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 4월 TeslaCrypt & AlphaCrypt 

• 2015년 8월 TeslaCrypt 변종(.aaa)

​• 2015년 9월 TeslaCrypt 변종​(.abc)

• 2015년 10월 TeslaCrypt 변종​(.ccc)

• 2015년 11월 TeslaCrypt 변종​(.vvv)​

• 2016년 1월 TeslaCrypt 변종​(.xxx, .ttt, .micro)​​

• 2016년 2월 TeslaCrypt 변종​(.mp3)​​​

• 2016년 3월 TeslaCrypt 변종​(확장자 변조 무)​​​​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님) 

 복구관련문의 긴급통화 010-9911-1008

침투 방식

• E-Mail 첨부파일(.doc, .js, .pdf, zip 등) / ex) 제목: ATTN: Invoice J-98223146(Invoice, payment, document 등)

메일을 송장 및 결제내역으로 교묘하게 위장하여 첨부파일을 확인할 수 있도록 함

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, ppt, pptx, pdf, txt, png, jpg, jpeg,

psd, wav, mp4, mpg, avi, wmv, zip 외 100여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 locky로 변경

• 파일을 암호화한 폴더내에 1개의 파일을 생성 (_Locky_recover_instructions.*, _HELP_instructions.*)

• 바탕화면을 생성된 파일 내용으로 변경

• CryptoWall4.0과 같이 암호화된 파일명 변경 (F67091F1D24A922B1A7FC27E19A9D9BC.locky)​

• 연결되어 있지 않은 네트워크 상태에도 공유 데이터를 암호화

연혁

• 2016년 2월 Locky​​​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

내용출처 : http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

 *​ CryptoWall3.0과 같은 UI를 사용하고 있지만 TeslaCrypt 기반인 것으로 확인 됨.

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 mp3로 변경

• 파일을 암호화한 폴더내에 3개의 파일을 생성 (Recovery.*, _H_e_l_p_RECOVER_INSTRUCTIONS.*)

• 유일하게 기존 확장자명으로 변조되며, mp3 파일은 감염시키지 않음

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 4월 TeslaCrypt & AlphaCrypt 

• 2015년 8월 TeslaCrypt 변종(.aaa)

​• 2015년 9월 TeslaCrypt 변종​(.abc)

• 2015년 10월 TeslaCrypt 변종​(.ccc)

• 2015년 11월 TeslaCrypt 변종​(.vvv)​

• 2016년 1월 TeslaCrypt 변종​(.xxx, .ttt, .micro)​​

• 2016년 2월 TeslaCrypt 변종​(.mp3)​​​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

*​ CryptoWall3.0과 같은 UI를 사용하고 있지만 TeslaCrypt 기반인 것으로 확인 됨.

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,

mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 xxx, ttt, micro로 변경

• 파일을 암호화한 폴더내에 2~3개의 파일을 생성

  (how_recover_file.* / help_recover_instructions.*)

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 4월 TeslaCrypt & AlphaCrypt 

• 2015년 8월 TeslaCrypt 변종(.aaa)

​• 2015년 9월 TeslaCrypt 변종​(.abc)

• 2015년 10월 TeslaCrypt 변종​(.ccc)

• 2015년 11월 TeslaCrypt 변종​(.vvv)​

• 2016년 1월 TeslaCrypt 변종​(.xxx, .ttt, .micro)​​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

침투 방식

• BitLocker 취약점

•​ 사용자 계정을 악성코드로 탈취하여 PC or Server에 원격 (Terminal) 접근하여

   Windows 작업 스케줄러에 랜섬웨어 감염파일을 등록하여 동작

<!--[if !supportEmptyParas]--> <!--[endif]-->

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,

   mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

<!--[if !supportEmptyParas]--> <!--[endif]-->

특징

• 모든 데이터를 D 혹은 다른 드라이브로 옮긴 후 BitLocker로 암호화

• 바탕화면에 PLEASE READ.txt파일생성

<!--[if !supportEmptyParas]--> <!--[endif]--> 

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,

mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 파일명과 확장자를 랜덤한 영문과 숫자의 조합으로 변경

• 파일을 암호화한 폴더내에 3개의 파일을 생성 (HELP_YOUR_FILES.* / INSTRUCTIONS.*)

• 파일명을 변경시킨 최초 랜섬웨어

연혁

• 2014년 3월 CryptoDefense

​• 2014년 6월 CryptoWall

• 2014년 10월 CryptoWall2.0

• 2015년 1월 CryptoWall3.0

• 2015년 11월 CryptoWall4.0

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

* Temp 폴더의 파일을 암호화 하지 않음​

*​ CryptoWall3.0과 같은 UI를 사용하고 있지만 TeslaCrypt 기반인 것으로 확인 됨.

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3,

mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 aaa >​ abc >​ ccc >​ vvv로 변경

• 파일을 암호화한 폴더내에 2~3개의 파일을 생성

  (howto_restore_file_랜덤한 5자리 영문.*/howto_recover_file_랜덤한 5자리 영문.*)​

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 4월 TeslaCrypt & AlphaCrypt 

• 2015년 8월 TeslaCrypt 변종(.aaa)

​• 2015년 9월 TeslaCrypt 변종​(.abc)

• 2015년 10월 TeslaCrypt 변종​(.ccc)

• 2015년 11월 TeslaCrypt 변종​(.vvv)​

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

•​ 개발된 복원프로그램으로 무상 복원 가능​ : www.rancert.com/bbs/bbs.php?bbs_id=rest​

* Temp 폴더의 파일을 암호화 하지 않음​ 

• NK_IN YOUR FILES.txt

Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures, files and documents

<!--[if !supportEmptyParas]--> <!--[endif]-->

• VO_IN Documents.txt

Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures, files and documents

침투 방식

• 사용자 계정을 악성코드로 탈취하여 PC or Server에 원격 (Terminal) 접근하여

Windows 작업 스케줄러에 랜섬웨어 감염파일을 등록하여 동작

피해 범위

• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav,

mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일명 앞에 NK_, VO_ 문구가 생성

• 파일을 암호화한 폴더내에 1개의 파일을 생성

(NK_IN YOUR FILES.*/VO_IN Documents.*)

• Windows 작업 스케줄러에 프로그램 등록(1.bat, sysdll.exe)

감염파일 위치 >> C:Users%LoginAccount%AppDataRoamingSystemTempFolder

차이점

• 특별한 랜섬웨어 명칭(CryptoWall, Crypt0L0cker 등)이 없음

• 기존 PC공격에서 서버DB 공격으로 진화

• 기존 서버 기반에서 E-mail 기반 프로그램으로 변화

• 기존 랜섬웨어와 다르게 OS 실행시 동작하게 설정되어 있어 장비가 부팅되면 계속 동작

- Windows 작업 스케줄러에 등록된 감염파일(1.bat, sysdll.exe)을 삭제해줘야 함

침해예방

> 감염 중 확인시

• 랜섬웨어 동작을 위해 등록된 Windows 작업 스케줄러 제거

• 해커가 생성한 계정이 있는지 확인하여 제거

• PC or Server가 이유 없이 5~10분 이상 속도가 느려질 경우 시스템 강제종료

• Disk 분리 후 다른 장비에 옮겨 감염되지 않은 데이터를 복사 후 Disk 포맷 권장

> 원격데스크톱 서비스 사용시

• 기본 Port를 변경하여 운영

• 지정된 IP 및 계정만 접근할 수 있게 설정

• 접근 계정 및 패스워드를 보안 정책에 맞추어 설정 운영

> FTP 서비스 및 기타 서비스 운영시

• 기본 포트사용 금지

• 일반 FTP 프로토콜 사용 금지

• 시스템 로그인 계정과 서비스 계정을 다르게 설정 운영

• 불필요한 Port는 모두 차단

• PC or Server 데이터는 정기적으로 안전한 저장소에 백업 보관

연혁

• 2015년 8월 NK_, VO_

복원방법

•​ 해커에게 비용 지불(현재는 비용을 지불하여도 복원 가능여부 확인 불가)

* Temp 폴더의 ​파일을 암호화 하지 않음

출처 : 한국랜섬웨어침해대응센터

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 (첨부된 파일 패턴은 exe 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

   (방화벽 장비 무용지물) 

피해 범위

• PC에 연결된 자주 사용되는 파일(Office 확장자, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv, hwp 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, Network Drive, 감염PC에서 접근가능한 공유폴더

특징

• 파일의 확장자 ecc > ezz > exx로 변경

• 파일을 암호화한 폴더내에 1개의 파일을 생성( HELP_RESTORE_FILES.*)

• 200MB 이상의 파일은 손상시키지 않음.

연혁

• 2013년 CryptoLocker

• 2014년 TeslaCrypt & AlphaCrypt

• 2015년 TeslaCrypt & AlphaCrypt

복원방법

• 복원툴이 계속 개발되고 있으나 PC의 키 파일을 지우게끔 업데이트 되어 복호화툴이 있더라도 복원불가

* Temp 폴더의 파일을 암호화 하지 않음

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일(src) 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 (첨부된 파일 패턴은 zip, scr등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

  (방화벽 장비 무용지물) 

피해 범위

• PC에 연결된 자주 사용되는 파일(*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe 제외한 모든 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 랜덤한 7자리 문자로 변경

• 파일을 암호화한 폴더내에 2개의 파일을 생성 (Decrypt All Files???????.*)

연혁

•​ 2015년 1월 CTB-Locker

복원방법

•​ 해커에게 비용 지불(현재는 비용을 지불하여도 복원 가능여부 확인 불가)

* Temp 폴더의 파일을 암호화 하지 않음

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문 (첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물) 

피해 범위

• PC에 연결된 자주 사용되는 파일(Office 확장자, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv, hwp 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자 encrypted로 변경

• 파일을 암호화한 폴더내에 2개의 파일을 생성 (DECRYPT_INSTRUCTIONS.* / HOW_TO_RESTORE_FILES.*)

• 시스템 보호 기능의 백업본 삭제 후 동작

연혁

•​ 2014년 10월 TorrentLocker

​•​ 2015년 4월 Crypt0L0cker 아시아지역을 주타켓으로 공격(시만텍 정보)

•​ 2015년 4월 클리앙 사건으로 웹사이트 방문만으로 랜섬웨어 감염

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)

* Temp 폴더의 파일을 암호화 하지 않음

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

​• 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 (첨부된 파일 패턴은 zip, exe, cab, pdf 등)

​• 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

   (방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp3, mp4, mpg, avi, wmv 외 40여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자 변조 없음.

• 파일을 암호화한 폴더내에 3~4개의 파일을 생성 (HELP_DECRYPT.*)

• 파일의 고유 서명값 위변조

연혁

• 2014년 3월 CryptoDefense

​• 2014년 6월 CryptoWall

• 2014년 10월 CryptoWall2.0

• 2015년 1월 CryptoWall3.0

복원방법

​•​ 해커에게 비용 지불(현재는 비용을 지불하여도 복원 여부 확인불가)

*Temp 폴더의 파일을 암호화 하지 않음

출처 : 한국랜섬웨어침해대응센터

CryptoWall 3.0

랜섬웨어는 감염 메일또는 웹페이지, P2P등으로 감염되며, 파일 또는 일반 오피스 문서파일에 위장하여 배포 됩니다.

CryptoWall 3.0의 경우 js확장자를 가진 자바스크립트 실행 또는 office파일 속에 심어진 실행 파일로 감염 될 수 있습니다.

작성 글은 수집된 랜섬웨어 js확장자를 통해 감염되는 과정을 설명 드립니다.

랜섬웨어가 동작할 때 아래와 같은 메시지가 나타나며, 동일한 증상이 PC에 발생할 경우 CryptoWall 3.0을 의심하고 바로 PC를 종료해야 피해를 최소화 할 수 있습니다.

감염 후 파일이 모두 암호화되면 3개의 창이 화면에 나타나며, 데이터가 있는 폴더를 확인하면  4개의 파일이 문서가 있는 폴더마다 생성된 것을 확인할 수 있습니다.

모든 폴더가 아래와 같이 감염이 된 경우 파일 복원은 매우 어려우며, Windows 시스템 보호기능을 정기적으로 백업 하신 경우 본사이트의 “ 침해시 대처 방법” 란을 확인하여 복원을 시도할 수 있습니다.

침해시 증상은 Office문서(hwp,doc,docx,xls,xlsx,ppt,pptx,pdf 외 다수),  이미지파일(jpg,psd,ai 외 다수) 압축파일, txt파일을 포함하여 70여가지 확장자를 암호화 합니다.

암호화된 파일은 notepad 로 열었을 때 파일 헤더 값이 변경되었음을 확인할 수 있습니다.

랜섬웨어 감염파일은 아래 위치에서 감염파일을 실행하여 PC를 감염시킵니다.

해당 파일들은 랜섬웨어 감염 후 생성되며, 실행은 랜덤한 숫자 bat파일이 생성되어 이미지에 있는 파일들을 실행 합니다.

랜섬웨어는 PC의 데이터를 1회 감염시킨 후 프로그램은 더 이상 동작하지 않습니다.

감염시 데이터 암호화는 PC에 연결된 모든 드라이브, 폴더의 데이터를 암호화 합니다.

 - Cloud 저장소 : Daum Cloud, N Driver, dropbox, google Drive 등

 - Local 저장소 : Local Drive, NetWork Dirve, 외장 HDD 등

감염 후 PC가 재 부팅되면 감염시 생성되는 JPG,TXT,웹창을 열고 아래와 같은 추가적인 화면을 보여줍니다. 인증코드를 입력하면 추가 설명 화면을 확인할 수 있습니다.

코드를 입력하고 접속시 비용 지불 페이지가 나타나고 기간내에 지불을 하지 않을 경우 비용이 2배가 됨을 표시합니다.

사용하는 PC내에서 몇 개의 파일이 암호화 되었는지 표시하여 주며 테스트로

512k이하 파일을 복원하게 해주며, 등록한 파일은 정상적으로 복원됩니다.

현재,  비용을 지불한다고 해서 전체파일을 복원해 준다는 보장이 없으므로 비용 지불은 권장하지 않습니다.

랜섬웨어 감염파일 복원방법에 대하여 아직은 복원방법이 없으나 랜섬웨어침해센터 내에서 복원 방법을 연구 중에 있습니다.

이상 침해 과정을 설명드렸습니다.

앞으로 랜섬웨어에 감염되지 않게 조심하시고, 정기적으로 개인의 데이터를 백업하여 데이터를 보호 하는 것을 권장합니다.

클라우드백업 바로가기 

이번에 발견된 랜섬웨어의 일종인 ‘크립토월(CryptoWall)’은 이메일, 웹링크를 통하여 전파되며, 지금도 국내 일부 사용자의 파일을 암호화한 후 금전을 요구하고 있다.

특징
해당 악성 코드는 감염시 특정 확장자 파일을 RSA-2048 알고리즘을 이용하여 암호화하고, 해당 폴더에 4가지 파일을 남깁니다. HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, HELP_DECRYPT 해당 파일에는 RSA-2048 알고리즘이 무엇인지, 복구 방법은 무엇인지, 파일을 정상화 하려면 어떻게 해야 하는지에 대해 설명해주며, 그 대가로 사용자에게 금전을 요구한다.

주의 사항
최근 사례로 해당 비트코인을 지불하여도 모든 파일을 복구할 수 있다는 보장도 없으므로, 문제가 발생하기 전에 수시로 백업을 받아 두는 것이 안전하다.

2015년 피해 사례

· 1월 서울 모기업 : 사용하던 PC내의 Drive에 있는 오피스 문서와 이미지 파일이 암호화 되고 복호화 하지 못하여 업무 수행에 큰 피해를 입음 (HWP제외)

· 2월 서울 모기업 : 사용하던 PC내의 Drive 및 파일서버 일부 오피스 문서와 개발 소스가 암호화 되고 복호화 하지 못하였으며, 1주일 전 백업 본 파일이 있어 1주일 작업분의 데이터를 유실(HWP제외)

· 인천 모기업  : 사용하던 PC내의 Drive에있는 파일이 암호화 되어 복호화 하지 못하여, 모든 업무 데이터 90% 유실. 이메일을 통하여 10%정도의 데이터 복원.

PC 보호 방법
정기적인 데이터 백업   : 안정성이 검증된 백업 SW정보 확인클라우드백업 바로가기
시스템 보호  :  

출처 : 한국랜섬웨어침해대응센터

랜섬웨어 란.

ransom : 파일을잡고 돈을 요구한다해서 붙은 이름이다.

이바이러스에 감염되면 공유폴더 (SMB)에 공유되어 있던 파일들은 모두 감염이 된다.

일단 이 글을 검색해서 들어오게 됬다면. 안좋은 결과물의 해결책을 위해서 들어왔다고 생각된다.

결론부터 말하자면 파일복구는 가능한가?

- 가능하다. 하지만 복불복이다.

암호화 해독을 할수 있는 업체에게 의뢰해야 하는가?

- 아니다. 그들도 똑같이 해커에서 비트코인을 입금한 이후 결과물을 받아 해독할것이다.

  ( 암호화를 해독하는건 현재 전세계적으로 불가능하다.)

가장 좋은방법은 무엇인가?

- 본인이 비트코인에 대해서 알고 있다면 비트코인을 구매해서 해커에게 비트코인을 송금하고 결과파일을 받는것이다.

비트코인만 입금하면 무조건 파일복구를 할수 있는가?

- 아니다. 이건 .. 해커에 따라 다르다 보통은 파일을 주지만 그렇지 않는 경우도 있다고 한다.

  필자가 약.. 20~30건정도 랜섬웨어 치료를 하였으나 지금까지 복구파일을 못받은 적은 없다.

최근에 들었다 .. 필자가 최근에 랜섬웨어 복구한 업체가 있는데. 수도권에 있는 업체에서 내려와

복구비용은 1000만원 가량이며 시일은 1주~2주정도 걸릴수 있다. 이 비용은 암호화 해제하는

엔지니어들의 기술비용이라고 하였다.

해당건 필자는 140만원 정도에 해결되었다.

랜섬웨어를 틈타 틈새시장을 노리는 업자들이 많은것 같다..

부디.. 현명한 선택들 하시기를...

혹시 랜섬웨어에 관해 파일복구가 필요하다면 연락주세요. 

터무니없는 업체가격에 휘둘리지 마세요 ^^

복구관련문의 긴급이메일 0petabyte@gmail.com

목포랜섬웨어,여수랜섬웨어,장성랜섬웨어,장흥랜섬웨어,완도랜섬웨어,광양랜섬웨어,강진랜섬웨어,담양랜섬웨어,진도랜섬웨어,곡성랜섬웨어,해남랜섬웨어,신안랜섬웨어,영암랜섬웨어,구례랜섬웨어,고흥랜섬웨어,무안랜섬웨어,순천랜섬웨어,보성랜섬웨어,함평랜섬웨어,화순랜섬웨어,영광랜섬웨어,나주랜섬웨어

랜섬웨어 란.

ransom : 파일을잡고 돈을 요구한다해서 붙은 이름이다.

이바이러스에 감염되면 공유폴더 (SMB)에 공유되어 있던 파일들은 모두 감염이 된다.

일단 이 글을 검색해서 들어오게 됬다면. 안좋은 결과물의 해결책을 위해서 들어왔다고 생각된다.

결론부터 말하자면 파일복구는 가능한가?

- 가능하다. 하지만 복불복이다.

암호화 해독을 할수 있는 업체에게 의뢰해야 하는가?

- 아니다. 그들도 똑같이 해커에서 비트코인을 입금한 이후 결과물을 받아 해독할것이다.

  ( 암호화를 해독하는건 현재 전세계적으로 불가능하다.)

가장 좋은방법은 무엇인가?

- 본인이 비트코인에 대해서 알고 있다면 비트코인을 구매해서 해커에게 비트코인을 송금하고 결과파일을 받는것이다.

비트코인만 입금하면 무조건 파일복구를 할수 있는가?

- 아니다. 이건 .. 해커에 따라 다르다 보통은 파일을 주지만 그렇지 않는 경우도 있다고 한다.

  필자가 약.. 20~30건정도 랜섬웨어 치료를 하였으나 지금까지 복구파일을 못받은 적은 없다.

최근에 들었다 .. 필자가 최근에 랜섬웨어 복구한 업체가 있는데. 수도권에 있는 업체에서 내려와

복구비용은 1000만원 가량이며 시일은 1주~2주정도 걸릴수 있다. 이 비용은 암호화 해제하는

엔지니어들의 기술비용이라고 하였다.

해당건 필자는 140만원 정도에 해결되었다.

랜섬웨어를 틈타 틈새시장을 노리는 업자들이 많은것 같다..

부디.. 현명한 선택들 하시기를...

혹시 랜섬웨어에 관해 파일복구가 필요하다면 연락주세요. 

터무니없는 업체가격에 휘둘리지 마세요 ^^

복구관련문의 긴급통화 010-9911-1008

필자가 랜섬웨어에 감염되었던 기관에 랜섬웨어 복구 대행을 진행했을때

해커에게 비용(비트코인)을 건내고 받은 파일이다.

어차피 통상 다른 PC에는 적용되지 않는다.

하지만 본인이 필요로 하다면 메일주신다면 보내드릴순 있습니다.

개발의 목적이나 프로그래밍 하시는분들이라면 구조라도 어느정도 보실순 있을것 같습니다 ^^

암호는 A167CE70F37A9ED54593F3772281B843B9E11680070C00DDA3C333046D0EC675

이였다..

복구파일 문의 7petabyte@gmail.com

랜섬웨어 란.

ransom : 파일을잡고 돈을 요구한다해서 붙은 이름이다.

이바이러스에 감염되면 공유폴더 (SMB)에 공유되어 있던 파일들은 모두 감염이 된다.

일단 이 글을 검색해서 들어오게 됬다면. 안좋은 결과물의 해결책을 위해서 들어왔다고 생각된다.

결론부터 말하자면 파일복구는 가능한가?

- 가능하다. 하지만 복불복이다.

암호화 해독을 할수 있는 업체에게 의뢰해야 하는가?

- 아니다. 그들도 똑같이 해커에서 비트코인을 입금한 이후 결과물을 받아 해독할것이다.

  ( 암호화를 해독하는건 현재 전세계적으로 불가능하다.)

가장 좋은방법은 무엇인가?

- 본인이 비트코인에 대해서 알고 있다면 비트코인을 구매해서 해커에게 비트코인을 송금하고 결과파일을 받는것이다.

비트코인만 입금하면 무조건 파일복구를 할수 있는가?

- 아니다. 이건 .. 해커에 따라 다르다 보통은 파일을 주지만 그렇지 않는 경우도 있다고 한다.

  필자가 약.. 20~30건정도 랜섬웨어 치료를 하였으나 지금까지 복구파일을 못받은 적은 없다.

최근에 들었다 .. 필자가 최근에 랜섬웨어 복구한 업체가 있는데. 수도권에 있는 업체에서 내려와

복구비용은 1000만원 가량이며 시일은 1주~2주정도 걸릴수 있다. 이 비용은 암호화 해제하는

엔지니어들의 기술비용이라고 하였다.

해당건 필자는 140만원 정도에 해결되었다.

랜섬웨어를 틈타 틈새시장을 노리는 업자들이 많은것 같다..

부디.. 현명한 선택들 하시기를...

혹시 랜섬웨어에 관해 파일복구가 필요하다면 연락주세요. 

터무니없는 업체가격에 휘둘리지 마세요 ^^

 복구관련문의 긴급통화 010-9911-1008

123123123