2016년 3월 2일 수요일

랜섬웨어 목구툴

[ 출처 :  http://www.sharedit.co.kr/ ]
[ 참조 : http://blog.naver.com/ssorin/ ]                                                                                                                            [Tool 다운]

먼저 바이러스를 먼저 제거한다.[참조]

랜썸웨어로 .ccc 암호화 된 file들이 많이 있었는데, TeslaDecoder를 사용해서 모두 복구를 할 수 있게 되었네요~ ^^*

===== 랜썸웨어로 암호화된 file 복구법 =====
( 현재 teslaCrypt 0.3.4a ~ 2.2.0까지 보구 가능 : ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, … 복구 )

1. TeslaDecoder down 받아 압축 해제 ( http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip )

2. 압축 해제된 directory에서 TeslaViewer.exe를 실행 시킴

3. teslaviewer의 [Browser…] 버튼을 눌러 암호화된 file 한개를 읽어 들이면 그림에서 처럼 encrypt 정보가 표시됨



































4. 하단의 [Create work.txt] 버튼을 누르면 Teslaviewer.exe 가 있는 folder에 work.txt가 생성됨
5. work.txt file을 연후 상단에 있는 PrivateKeyBC의 SharedSecret1*PrivateKeyBC의 dec 값을 복사한다.

 6. 공개키를 소인수 분해한 값들을 찾아 주는 Yafu program을 다운 받아 압축을 해제한다. http://download.bleepingcomputer.com/td/yafu.zip

7. 방금 압축해제한 folder에서 RunYafu.exe program을 찾아 실행시킨 후 가운데 있는 [TuneYafu] 버튼을 눌러 yafu 실행 환경을 최적화 시켜 준 후(CMD 창이 열려 작동후 자동으로 닫힌 후) Runyafu를 닫음, 다른건 건드릴 필요없이 아래 그림의 동그라미 친 버튼만 누르면 됨 (몇분 소요됨)


8. 다시 압축해제한 folder에서 자신의 OS가 32bit이면 factorX86.bat, 64bit이면 factorX64.bat batch file을 실행시킨다.

9. Enter DEC SharedSecret1*PrivateKeyBC: 부분에 조금전 5. 에서 복사했던 십진값을 붙여넣기 한다. ( CMD 창 Title에서 오른 마우스 클릭후, [편집] -> [붙여넣기] )

 10. Amount of Threads: 에 자신의 CPU core에 맞게 2 또는 4 등을 입력하고 Enter키를 누른다.
( 결과 나오기까지 시간 많이 소요됨 )

11. 결과로 나온 ***factors found*** 아래에 P1, P2, … 의 내용들을 선택하여 복사한다. ( CMD 창의 title에 우측 마우스 버튼을 누른후, [편집]->[표시]를 한후 복사할 부분을 마우스 드래그하여 선택, title에서 우 클릭후, [편집]->[복사] )

12. TeslaDecoder folder로 다시 돌아 가서, TeslaRefactor.exe file을 실행시킨후, 앞에서 복사한 내용을 붙여 넣기 한 후에 값에 대한 내용만 남겨 두고, = 앞부분을 모두 지워준다.



































13. Public key(hex) 부분에 5.의 work file에서 PublicKeyBC =  에 해당하는 16진 값을 복사하여, 붙여 넣고 [Find private key] 버튼을 클릭하면, [Private key(hex)]에 복구를 위한 16진 암호가 나타나는 데, 이것을 복사해둔다.

14. TeslaDecoder folder의 TeslaDecoder.exe를 실행시킨 후, [Set key] 버튼을 누른 후key(hex)에 앞에서 복사한 key 값을 붙여넣기 한후, Extension 부분에서 해당 확장자를 선택한후, [Set key] 버튼을 클릭한다.



























15. [Decrypt Folder] 버튼을 클릭한 후 암호화된 file이 저장되어 있는 folder를 선택한다.

16. 대화창이 나타나면서 암호화된 file을 복구후에 삭제할 것인지를 묻는데, 삭제하려면 [예(y)]를 보존하려면 [아니오(N)]를 클릭하여 암호화된 file을 복구한다.



















{ http://www.factordb.com 싸이트에서 이미 등록된 암호키라면 FactorDB에서 암호를 찾을 수 있어 6~13번까지 건너뛸 수 있지만, 존재하지 않을 가능성이 높기 때문에 건너 뛰었음 }


[출처 :  http://www.parkoz.com/ ]

다운로드 페이지 링크 (영문 설명 포함)
http://esupport.trendmicro.com/solution/en-US/1114221.aspx
다운로드 링크
http://solutionfile.trendmicro.com/SolutionFile/EN-1114221/RansomwareFileDecryptor%201.0.1569%20MUI.zip
CRYP1 의 경우 CRYPTXXX V3 선택하여 복구



작성자: 시간:
라벨: ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)