PETABYTE

침투 방식

• E-Mail 첨부파일, Web ActiveX 설치, 감염파일 실행 등

•​ 발신지가 명확하지 않은 이메일 첨부파일 실행 금지 및 웹사이트 방문

(첨부된 파일 패턴은 zip, exe, scr, cab, pdf 등)

•​ 위 형식의 파일이 실행되면 랜섬웨어 감염파일을 서버에서 다운로드 받아 실행함

(방화벽 장비 무용지물)

피해 범위

• PC에 연결된 자주 사용되는 파일(xls, xlsx, doc, docx, pdf, txt, jpg, psd, wav, mp4,

mpg, avi, wmv 외 확장자)

• Cloud Drive, Local Disk, USB Drive, NetWork Drive

특징

• 파일의 확장자를 crypt로 변경

• 파일을 암호화한 폴더내에 2~3개의 파일을 생성 (de_crypt_readme.*, !Recovery_[ID].*)​

• 바탕화면을 랜섬웨어 ​결제 안내 화면으로 변경

• 실행파일(.exe)이 아닌 dll 파일 형식으로 유포

• ​사용자 정보를 탈취(브라우저, 메일 클라이언트, 쿠키 데이터, FTP계정 등) 

연혁

• 2016년 4월 CryptXXX

복원방법

•​ 해커에게 비용 지불 복원 가능(권장사항 아님)   

•​ Kaspersky lab 보안회사가 개발한 복호화 프로그램으로 복원가능

​[복호화 프로그램 개발 이후 랜섬웨어가 업데이트되어 업데이트 전 버전만 복원가능,

공용(public)폴더- 업데이트 전(감염) / 업데이트 후(감염X)] 

→ CryptXXX 복호화 방법 바로가기

내용 출처 : 하우리 보안이슈 분석

해당글은 랜섬웨어에 광고글이 아닌 필자가 2차피해자를

줄이기위해 포스팅한 글입니다.

당신의 파일이 확장자와 파일이름이

이상하게 변조되었다면..

당신은 불행이도 랜섬웨어에 감염된 것이다.

주로 확장자는 crypt 나 cerber 등 다양한 확장자 등이 있다.

랜섬웨어에 감염된후 GoldenTime 은 3일이다.

3일이 경과한이후는 복구비용이 2~3배로 올라간다.

이제 선택할수 있는 부분은 2가지 입니다.

1. 파일을 포기하고 PC를 포멧하거나 바이러스를 치료

2. 해커에게 bitcoin을 입금하고 복호화 프로그램을 받는것.

필자는 중요한 자료가 아니고 5년정도 후에라도 파일이

복구되어도 관계없다면 1번을 권장한다.

2번은 정신적 스트레스가 따라올수 있으니

정말 중요한 자료가 많다면 선택해야하는 길입니다.

2번을 선택하였다면 필자가 올려놓은 포스팅파일을 통해

bitcoin부분을 먼져 확인해보기 바랍니다.

http://peta-byte.net/167

업체를 통해서 진행한다면..

업체의경우 절대로 암호를 해독하는것은

불가능 합니다.

랜섬웨어의 경우 128bit 이상의 암호화 기술이기때문에

암호를 해독한다는것 자체는 절대 불가능합니다.

전세계적으로  유행하는 바이러스 이므로 국내에서 자체기술만으로 해독한다는 것은 모두 허위광고 입니다.

보통 모든 업체가 해커에게 bitcoin을 입금하고

자기들이 직접 해독한것처럼하여

비트코인복호화비용보다 비싼 금액을

요구하는 경우가 많습니다.

실패시 환불해준다는 업체도 있다고 하던데

실제로 실패시 소비자 과실로 돌리는 경우가 많다고하니

주의를 기울여야 할것입니다.

정말 해독하고 싶다면 bitcoin 입금하는 방법을

검색하여 찾는길이 가장 저렴하며

정말 어렵고 힘들다 싶으신분들은

주저없이 연락주시기 바랍니다.

부디 업체로부터 피해를 입는 분들이

많지 않기를 기원합니다.

선택은 본인의 몫 입니다.

긴급지원 연락처 : 010-9911-1008

복구파일의뢰 : 7petabyte@gmail.com

해커로부터 파일 1개는 공짜로 해독이 가능합니다.

정말 필요한 파일 1개만 해독하고 싶다면

무료로 지원해드리니 연락주시기 바랍니다.

해커가 제공하는 복화하 파일은 다음 그림들과 같습니다.

crypt랜섬웨어 복호화 프로그램 입니다.

cerber 복호화 프로그램 입니다.