램섬웨어 .ccc .vvv 손상된 파일 복구하기!!

TIP/PC 2017. 5. 12. 15:48

랜섬웨어 .ccc .vvv 손상된 파일 복구하기!!

정말 끔찍한 화면이죠? 저도 2015년도에 개인 사정때문에 5개월정도 컴퓨터를 못켰었는데요. 오랜만에 컴퓨터를 켜보니 백신이 업데이트 되기 전에 컴퓨터가 느려지며 Crypto Locker가 침투하여 각종 문서, 사진, 동영상 등을 암호화하여 .ccc의 확장자와 함께 비트코인 주소와 협박 메시지가 적힌 메모장만 남았죠.

Crypto Locker란? 랜섬웨어 트로이목마로, 각종 문서 파일들을 암호화 하여 복구를 위해서는 비용을 지불해야 하는 일종의 인질?과 같은 파일 납치를 의미해요.

같은 계열로 Tesla Crypt, Crypto Wall등이 있는데 이번 포스팅에서는 Tesla Crypt를 기준으로 포스팅 할게요.

< 바로가기 버튼 >

랜섬웨어 치료방법!

트렌드마이크로 위협 제거툴 (자동치료)

트렌드마이크로 위협 제거 툴

자신에게 맞는 운영체제의 비에 맞추어 다운로드를 받아서 실행 시킨후 잠시 기다리시면 툴킷 창이 열립니다.

"Scan Now"를 눌러서 치료를 진행하면 되요.

네이버 카페 바이러스 제로 (수동치료)

랜섬웨어 대처법 TeslaCrypt치료법

출처 : http://cafe.naver.com/malzero

파일들을 점차 감염시켜 나가므로 가능한 빨리 인터넷선을 뽑으시고 위 내용처럼 랜섬웨어 본체 파일을 삭제해주면 감염증상을 멈춰요. 이대로 치료는 완료 됐지만 찝찝하므로 암호화된 파일들은 복구를 위해 백업 시켜놓고 포맷을 한번 해주면 더욱 좋아요.

암호화된 파일 복구하기!

목동지기님 블로그

목동지기님께서 파일 복구를 해주시다가 작업량이 너무 많다보니 직접 복구 할 수 있도록 가이드를 해주셨어요.

복구 프로그램은 위 링크를 타고 목동지기님 블로그에서 받으시면 됩니다.

1. 암호화된 비밀키 찾기

1. 다운받은 TeslaDecoder.vol1~4.egg의 압축을 풀어주세요. (egg압축이라 아쉽지만 알집이나 반디집, UnEGG가 있어야겠네요.)

2. TeslaDecoder 폴더에 들어가서 "teslaviewer.exe"를 실행 해주세요.

3. "Browse"를 눌러서 랜섬웨어에 걸린 파일을 불러온 후 "Create work.txt"버튼을 누르면 TeslaDecoder 폴더안에 텍스트파일이 만들어져요.

4. "work.txt"파일을 열어 PirvateKeyBC의 "dec부분"을 복사해주세요.

5. TeslaDecoder폴더 안에 yafu폴더 안의 "RunYafu.exe"를 실행 시켜주세요.

Tune Yafu버튼을 클릭하거나, Threads수를 수동으로 입력하고 네모칸에 아까 복사한 "dec부분"을 붙여 넣은후 아래 버튼을 누릅니다.

6. 이렇게 cmd창이 하나 열리며 자동으로 암호를 복호화합니다. 빠르면 5분 늦으면 24시간 이상 걸리는 경우도 있으니 켜놓고 다른 볼일 보고오시면 좋겠네요.

7. 복호화가 끝나면 ***factors found*** 부분을 복사해서 아무 메모장이나 붙여넣어 갖고있어주세요.

혹시 복사가 안되면 "마우스우클릭 → 표시 → 드래그 → 마우스우클릭 → 복사"를 하시면 됩니다.

8. 다시 "work.txt"의 "PublickeyBC"의 값을 복사 해주세요.

9. TeslaDecoder폴더의 "TeslaRefactor.exe"를 실행하여 7번에서 복사한 값을 위에 큰 네모칸에 넣어주시고, 8번에서 복사한 PublickyBC의 값을 "Public key(hex)"에 붙이고 "Find private key"를 누르면 아래 값들이 채워집니다. 그 중 아래에서 두번째 "Private key (Hex)"의 값이 손상된 파일을 복호화 할 수 있는 "비밀키"입니다.