PETABYTE

랜섬웨어복구방법 (Locky(.zzzzz)/Locky(.aesir)]

현재 유행하고 있는 랜섬웨어 Locky(.zzzzz) 와 Locky(.aesir) 의 경우

연혁

• 2016년 2월 Locky​​​(.locky)

• 2016년 6월 Locky​​​(.zepto)​

• 2016년 9월 Locky​​​(.odin)​​

• 2016년 10월 Locky​​​(.shit)​​​

• 2016년 10월 Locky​​​(.thor)​​

• 2016년 11월 Locky​​​(.aesir)​​​

• 2016년 11월 Locky​​​(.zzzzz)​​​​

이렇게 진화해 왔으며 악명높게도 PC의 구성까지 모두 깨트려 윈도우 진입이

불가한 경우도 있습니다.

인터넷에서 돌고있는 랜섬웨어 복구 업체의 99%는 모두

본인의 기술이 아닌 비트코인 대행 입금업체들이며 이들은

본인들의 기술로 해독된것처럼 말하지만. 실제로는 해커에서

비트코인을 입금하고 해커로부터 받은 해독키값으로 해독한후 감염자에게

고액의 이득을 챙기는 업체들입니다.

관련기사 : http://news1.kr/articles/?2811710

이들에게 현혹되지 마시고 랜섬웨어를 복구하는방법 오로지 2가지 뿐입니다.

1. 해커에서 비트코인을 입금한후 해커로부터 해독 파일을 받는다.

2. 해커가 마스터 키 값을 공개할때 (해커가 검거되거나 본인의지로 공개) 까지

   해당파일을 보관하고 있는다.

이 두가지 방법 뿐입니다.

본인이 어느정도 비트코인에 관한 지식이 있다면 구매하여 직접 진행하는것이

가장 저렴하고 확실한 방법입니다.

필자는 본업이 따로 있고 이렇게 부당한 업체로부터 당하는 피해자들이 없기를

바라는 심정에서 해당 글을 올리는 것이며.

현재 복구할수 있는 최소의 금액은 1.0BTC 886.000 원정도이며 이는 환전&이체

수수료가 제외된 금액입니다. BTC 의 경우 가격이 지속적으로 오르고 있으니

해당자료가 88만원정도의 값어치를 투자할수

없는 자료일경우 상기의 2번방법을

택하신후 여유롭게 기다리셔야 하며 만약 해당금액이상의 값어치가 있다면

반드시 감염후 3일이내에 진행하셔야 함을 명심하시기 바랍니다.

감염후 4일이 지나면 금액은 2배가 되며

30일이후는 영영 복구 불가하게 됩니다.

비트코인을 대행하여 해결하는 방법의 도움이 필요하신분은

하기의 메일로 연락주시기 바랍니다.

메일은 실시간으로 확인하니 바로 답을 드릴수 있습니다.

문의 메일주소 : 7petabyte@gmail.net   // 또는 카카오톡 7petabyte 입니다.

연락처는 공개하였으나 문의 전화가 너무 많아 제 현업에 지장을 주기에

메일과 카카오톡내용을 확인후 연락드립니다.

                            [ 결제화면 접속 페이지 ]

                              [ 결제 안내 페이지 ]
 

침투 방식

• E-Mail 첨부파일(.wsf, .js, .hta, .zip, .pdf 등) / 제목: Receipt, payment, document, service 등의 형태

메일을 송장 및 결제내역으로 교묘하게 위장하고 사내메일로 유포되어 첨부파일을 확인할 수 있도록 함

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(hwp, xls, xlsx, doc, docx, ppt, pptx, pdf, txt, png, jpg, jpeg,

psd, wav, mpg, avi, wmv, zip 외 350여가지 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 zzzzz로 변경

• 파일명 변경 (GKJMMM9I-Z75P-UHGS-6337-09CCC46EDD34.zzzzz)

• 파일을 암호화한 폴더내에 결제안내파일 생성 (_INSTRUCTION.*)

• 바탕화면을 생성된 파일 내용으로 변경

• 사용자가 인지하지 못하는 네트워크 경로를 찾아 데이터를 암호화​​

연혁

• 2016년 2월 Locky​​​(.locky)

• 2016년 6월 Locky​​​(.zepto)​

• 2016년 9월 Locky​​​(.odin)​​

• 2016년 10월 Locky​​​(.shit)​​​

• 2016년 10월 Locky​​​(.thor)​​

• 2016년 11월 Locky​​​(.aesir)​​​

• 2016년 11월 Locky​​​(.zzzzz)​​​​

복원방법

•​ 해커에게 비용 지불 복원 미확인(권장사항 아님)  

각종 랜섬웨어 복호화 방법 ( Ransomware File Decryptor )-TrendMicro

트렌드 마이크로(TrendMicro)에서 각종 랜섬웨어에 감염된 데이터에 대해 복호화가 가능한 프로그램을 공개하였습니다.

이에 랜섬웨어 침해대응센터에서는 해당 랜섬웨어로 암호화된 파일을 가지고 계신 분들에게 도움을 드리고자 공지합니다.

본 과정은 아래 작성된 랜섬웨어만 적용되며, 이외에 다른 랜섬웨어에는 적용되지 않습니다.

복구 가능한 확장자(아래 표)가 아니거나 조건에 부합되지 않는 경우 복원되지 않으므로 진행 전 절차내용을 숙지하시기 바랍니다.

본 과정은 트렌드마이크로에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

반드시 복사본으로 시도하시기 바랍니다.

( 출처 및 복호화 프로그램 다운로드 : https://success.trendmicro.com/solution/1114221 )

​ 복호화 가능 랜섬웨어 종류 및 확장자

* - CryptXXX V3 암호 해독은 전체파일을 복구할 수 없습니다. ( 부분 데이터 암호 해독 ) 

** - TeslaCrypt V1 및 V2의 경우  TeslaCryptDecrypter 의 1.0.xxx의 MUI를 사용하세요. 

다운로드페이지 접속 후 위 버튼 클릭

+++ CERBER V1 참고사항

케르베르는 암호 해독 과정에서 해당 pc의 첫 감염 파일을 요구할 수 있으므로 반드시 감염된 PC에서 진행해야 합니다. 

케르베르를 복호화 하는 메소드로 인해 진행 시간이 몇 시간이 걸릴 수 있습니다. (인텔 i5 dual core 기준 평균 4시간)

해당 랜섬웨어는 암호화 과정이 매우 복잡하기 때문에 복호화 성공 확률이 낮습니다.

다른 유사한 랜섬웨어처럼 파일이 부분적으로만 해독 될 수 있으며, 이후 추가적으로 복구가 필요할 수 있습니다.

​ 복호화 진행절차  

1. RansomwareFileDecryptor 1.0.1639 MUI.exe​ 다운로드   

RansomwareFileDecryptor 1.0.1639 MUI.exe 다운로드

 → 트렌드마이크로에서​ 공개한 복호화 프로그램 다운로드

홈페이지 접속 후 아래 버튼 클릭

2. 랜섬웨어 감염파일 복사본 생성​

3. RansomwareFileDecryptor 1.0.1639 MUI.exe​ 실행​

→ 동의(Agree) 버튼을 클릭하여 프로그램을 실행합니다.

 → 선택(Select) 버튼을 클릭하여 복호화 하고자 하는 랜섬웨어 종류를 선택합니다.

→ 랜섬웨어 종류를 선택한 후 OK 버튼을 클릭하여 파일 스캔을 진행합니다.

  (어떤 랜섬웨어에 감염되었는지 모를 경우 "I don't know the ransomware name" 을 클릭하여 복호화하고자 하는 파일을 첨부합니다.)

→ 파일 그림의 버튼을 클릭하여 암호화된 파일을 불러옵니다.​ ​

 → 암호화된 파일(복사본)을 선택한 후 열기 버튼을 클릭합니다.

​ ​

 → 첨부된 파일을 확인한 뒤 다음(Next) 버튼을 클릭합니다.

​ ​

 → 자동으로 랜섬웨어 종류가 등록됩니다.​ ​

 → 선택 & 복호화(Select & Decrypt) 버튼을 클릭하여 복호화 할 파일의 위치를 지정합니다.

 → 파일 혹은 파일 위치 선택 후 확인 버튼을 클릭합니다.

→ 선택한 파일 및 파일 위치를 스캔하여 암호화 된 파일들을 스캔합니다. 

  파일 크기에 따라 10분에서 30분정도 소요됩니다. ( 파일 크기가 클 경우 더 오래걸릴 수 있음.)

→ 스캔이 완료 (Scan Completed) 되며 Decrypted file이 자동으로 해당 파일에 생성됩니다.

완료(Done)을 클릭하여 작업을 마칠 수 있습니다.

→ 복호화 프로그램 실행 전 과 후 입니다. 암호화 된 파일이 복호화되어 원본 파일과 _fixed 파일이 생성되었습니다.

랜섬웨어 복구비용 알아보기

해당글은 랜섬웨어에 2차 피해자를 줄이기 위해 포스팅된 글입니다.

당신의 파일이 확장자와 파일이름이

이상하게 변조되었다면..
당신은 불행이도 랜섬웨어에 감염된 것입니다.

주로 확장자는 crypt 나 cerber 등 다양한 확장자 등이 있습니다.

랜섬웨어에 감염된후 GoldenTime 은 3일입니다.

3일이 경과한이후는 복구비용이 2~3배로 올라간다.

이제 선택할수 있는 부분은 2가지 입니다.

1. 파일을 포기하고 PC를 포멧하거나 바이러스를 치료

2. 해커에게 bitcoin을 입금하고 복호화 프로그램을 받는것.

필자는 중요한 자료가 아니고 5년정도 후에라도 파일이

복구되어도 관계없다면 1번을 권장한다.(자료는 삭제하지말고 반드시 백업해놓을것)

**추후에 복호화파일이 무료로 공개되는경우들이 있습니다**

2번은 정신적 스트레스가 따라올수 있으니

정말 중요한 자료가 많다면 선택해야하는 길입니다.

2번을 선택하였다면 필자가 올려놓은 포스팅파일을 통해

bitcoin부분을 먼져 확인해보기 바랍니다.

http://peta-byte.net/167

업체를 통해서 진행한다면.. 판단을 잘하셔야 합니다.

업체의경우 절대로 암호를 해독하는것은

불가능 합니다.

랜섬웨어의 경우 128bit 이상의 암호화 기술이기때문에

암호를 해독한다는것 자체는 절대 불가능합니다.

전세계적으로  유행하는 바이러스 이므로 국내에서 자체기술만으로 해독한다는 것은 모두 허위광고 입니다.

보통 모든 업체가 해커에게 bitcoin을 입금하고

자기들이 직접 해독한것처럼하여

비트코인복호화비용보다 비싼 금액을

요구하는 경우가 많습니다.

실패시 환불해준다는 업체도 있다고 하던데

실제로 실패시 소비자 과실로 돌리는 경우가 많다고하니

주의를 기울여야 할것입니다.

정말 해독하고 싶다면 bitcoin 입금하는 방법을

검색하여 찾는길이 가장 저렴하며

정말 어렵고 힘들다 싶으신분들은

주저없이 연락주시기 바랍니다.

부디 업체로부터 피해를 입는 분들이

많지 않기를 기원합니다.

선택은 본인의 몫 입니다.

긴급지원 연락처 : 010-9911-1008

복구파일의뢰 : 7petabyte@gmail.com

해커로부터 파일 1개는 공짜로 해독이 가능합니다.

정말 필요한 파일 1개만 해독하고 싶다면

무료로 지원해드리니 연락주시기 바랍니다.

해커가 제공하는 복화화 파일은 다음 그림들과 같습니다.

crypt 복호화 해제 프로그램

cyber 복호화 해제 프로그램

필자가 랜섬웨어에 감염되었던 기관에 랜섬웨어 복구 대행을 진행했을때

해커에게 비용(비트코인)을 건내고 받은 파일이다.

어차피 통상 다른 PC에는 적용되지 않는다.

하지만 본인이 필요로 하다면 메일주신다면 보내드릴순 있습니다.

개발의 목적이나 프로그래밍 하시는분들이라면 구조라도 어느정도 보실순 있을것 같습니다 ^^

암호는 A167CE70F37A9ED54593F3772281B843B9E11680070C00DDA3C333046D0EC675

이였다..

복구파일 문의 7petabyte@gmail.com

랜섬웨어 란.

ransom : 파일을잡고 돈을 요구한다해서 붙은 이름이다.

이바이러스에 감염되면 공유폴더 (SMB)에 공유되어 있던 파일들은 모두 감염이 된다.

일단 이 글을 검색해서 들어오게 됬다면. 안좋은 결과물의 해결책을 위해서 들어왔다고 생각된다.

결론부터 말하자면 파일복구는 가능한가?

- 가능하다. 하지만 복불복이다.

암호화 해독을 할수 있는 업체에게 의뢰해야 하는가?

- 아니다. 그들도 똑같이 해커에서 비트코인을 입금한 이후 결과물을 받아 해독할것이다.

  ( 암호화를 해독하는건 현재 전세계적으로 불가능하다.)

가장 좋은방법은 무엇인가?

- 본인이 비트코인에 대해서 알고 있다면 비트코인을 구매해서 해커에게 비트코인을 송금하고 결과파일을 받는것이다.

비트코인만 입금하면 무조건 파일복구를 할수 있는가?

- 아니다. 이건 .. 해커에 따라 다르다 보통은 파일을 주지만 그렇지 않는 경우도 있다고 한다.

  필자가 약.. 20~30건정도 랜섬웨어 치료를 하였으나 지금까지 복구파일을 못받은 적은 없다.

최근에 들었다 .. 필자가 최근에 랜섬웨어 복구한 업체가 있는데. 수도권에 있는 업체에서 내려와

복구비용은 1000만원 가량이며 시일은 1주~2주정도 걸릴수 있다. 이 비용은 암호화 해제하는

엔지니어들의 기술비용이라고 하였다.

해당건 필자는 140만원 정도에 해결되었다.

랜섬웨어를 틈타 틈새시장을 노리는 업자들이 많은것 같다..

부디.. 현명한 선택들 하시기를...

혹시 랜섬웨어에 관해 파일복구가 필요하다면 연락주세요. 

터무니없는 업체가격에 휘둘리지 마세요 ^^

 복구관련문의 긴급통화 010-9911-1008