Soft2Secure

랜섬 웨어 예방과복구

랜섬 웨어 예방과복구

파일 암호화 랜섬웨어는 의심할 여지없이 사상 최악의 악성 코드 유형입니다. 이러한 공격의 경우, 단순히 감염을 제거하는 것만으로는 충분하지 않습니다. 인질로 잡힌 데이터를 해독하는 것이 피해자가 직면한 현실적인 문제입니다. 랜섬웨어 위협 환경은
여러 다른 종류들로 이루어져 있습니다. 일부 샘플은 약한 암호를 가지고 있으며, 암호 해독 키는 악성 실행 파일 자체에 포함되어 있습니다. 하지만, 어떤 것들은 전문적으로 복구를 방해할 정도로 제작되었습니다. 어떤 방식으로든, 잠긴 파일을 되살리는
것은 모든 피해 사용자의 의제에 달려 있습니다. 데이터 백업은 이러한 맥락에서 신의 선물이지만 이러한 사건 대응에 여전히 대부분의 사용자와 조직이 준비하지 않은 상태일 것입니다. 백업이 없다면, 가장 유용한 방법은 보완 트로이 목마에 의해 훼손된
파일을 복원하는 것이 가장 보편일 것입니다.

1단계: 랜섬 웨어 제거하기

이것에는 다소 논쟁의 여지가 있습니다. 암호화 랜섬 웨어가 컴퓨터에 널리 퍼지게 된 것은 피해자의 데이터가 암호화될 때까지 감염된 컴퓨터만 사용했기 때문입니다. 그러므로, 자체 종료 루틴, 최신 DDoS, ID 도난 또는 화면 잠금 메커니즘이 추가 된 최신
샘플을 갖추어야 합니다. 그리고, 트로이 목마와 관련 구성 요소가 더 이상 시스템에 없다는 것을 확인하는 것이 항상 중요합니다. 이 방법 중 하나는 운영 체제를 이전 상태로 되돌릴 수 있는 기본 Windows 기능인 시스템 복원을 활용하는 것입니다. 이
기술은 개인 파일에는 적용되지 않지만, PC를 랜섬웨어-프리로 만들 수 있습니다. 그러나, 공격이 발생했을 때, 시스템 복원이 활성화되어 있지 않으면, 문제 해결 벡터로서 좋지 않습니다. 이 경우, 자동 맬웨어 방지 제품군을 사용하면 랜섬웨어를 검색하고
완전히 제거 할 수 있습니다.

2단계: 파일 복구를 위한 포렌식에 의지

랜섬웨어가 손상된 파일을 복원하기 위해, 포렌식 도구를 사용하는 것의 효과는 평균적인 랜섬웨어 맹공격의 특이성을 중심으로 돌아갑니다. 사실 이러한 악의적인 프로그램의 대부분은 원본 파일을 지우는 경향이 있습니다. 감염된 PC 전체에 퍼진 접근하기
어려운 개체는 피해자의 중요한 데이터를 암호화한 복사본일뿐입니다. 이는 감염이 복구를 넘어서서 제거할 수 있도록 다중 덮어 쓰기를 사용하지 않는 한, 삭제된 파일이 실제로 하드 드라이브의 어딘가에 있을 수 있음을 의미합니다. Data Recovery Pro와
같은 소프트웨어를 사용하면, 원래 데이터 항목 중 일부를 복원할 수 있습니다. 도구를 설치하고 스캔을 실행하여, 복구 가능한 항목을 결정하면 됩니다.

Data Recovery Pro

파일 복원의 또 다른 방법은 VSS와 관련되어 있습니다. 간단히 말해서, 스냅 샷을 저장하고, 특정 간격으로 파일의 예비 복사본을 저장하는 시스템 모듈을 나타냅니다. 속성으로 이동하여 이전 버전 탭을 선택하면, 임의 파일에 대한 백업 버전 목록을 볼 수
있습니다. ShadowExplorer라는 응용 프로그램은 이 루틴을 완전히 자동화하여, 사용자가 관심있는 폴더나 파일을
선택하고 섀도 복사본을 원하는 경로로 복원 할 수 있도록 합니다.

ShadowExplorer

이러한 셀프 기술이 쓸모 없게 되었다면, 특수 제작된 암호 해독 도구를 검색해야 할 때입니다. 가장 먼저 왜곡을 알아내는 것이 필수입니다.

3단계: 랜섬웨어 인지하기

수백 개의 서로 다른 암호화 랜섬웨어 제품군이 있습니다. 보안 연구원이 귀하의 사건에 적합한 암호 해독기를 공개했는지 여부를 확인하려면, 컴퓨터에 공격한 것이 무엇인지를 파악해야 합니다. 악명 높은 Cerber 랜섬웨어의 경우와 마찬가지로 때때로
랜섬은 감염의 이름을 직접 언급합니다.

그러나 이는 규칙이라기 보다는 예외 사항입니다. 랜섬 요구, 암호화 된 파일의 형식 또는 링크된 지불 페이지에 이름의 직접적인 표시가 없는 경우, MalwareHunterTeam의
ID 랜섬웨어와 같은 서비스를 사용하는 것이 좋습니다. 이 웹 사이트는 랜섬 트로이를 식별하는 두 가지 방법을
제공합니다. 한 가지 방법은 일반적으로 오염된 컴퓨터 바탕 화면에 추가되는 .txt, .hta, .html 또는 .bmp 랜섬을 업로드하는 것입니다. 다른 방법은 샘플 암호화 파일을 업로드하는 것입니다. 이 정보를 처리하면, 디지털 적수의 이름이 반환됩니다. 이
시점에서, ID 랜섬웨어는 281 개의 랜섬웨어를 탐지합니다.

Crypto Sheriff는 랜섬웨어 피해자가 그들이 직면한 샘플을 식별 할 수 있게 해주는 또 다른 리소스입니다. 이는
놀라운 국제 No More Ransom 이니셔티브의 일부입니다. 사용자는 여기에서 몇 가지 옵션을 사용할 수 있습니다. 크기가 1MB 미만인 두 개의 암호화 된 파일을 업로드하는 것입니다. 랜섬에 표시된 이메일 주소 및/또는 URL을 입력하세요. 또는 감염에 의해
드롭된 .txt 또는 .html 랜섬 설명서를 업로드 할 수 있습니다.

Crypto Sheriff의 데이터베이스에서 일치하는 항목이 발견되면, 해당 서비스는 랜섬웨어 유형을 정의하는 페이지를 표시합니다. 또한, 사용 가능한 경우, 적절한 무료 암호 해독 도구를 다운로드하기 위한 버튼을 제공합니다. 사용자는 해당 지역의 법 집행
기관에 범죄를 보고 할 수도 있습니다.

랜섬웨어 인식과는 달리 공격 속성은 실제로 데이터 암호 해독 체인의 구성 요소가 아닙니다. 하지만, 이는 적이 누구인가에 대해 생각하기 위한 양식을 제공합니다. Kaspersky Lab이 제공한 통계에 따르면, 2016년에 발견된 62개의 랜섬웨어 변형 중 47개는
러시아어를 구사하는 해커가 만들었습니다. 즉, 모든 파일 암호화 맬웨어 샘플 중 75%가 러시아 출신임을 의미합니다. 이러한 가혹한 프로그램은 작년에 최소 140만 명의 사용자를 감염시켰습니다. 테이크 아웃은 온라인 해킹이 언어를 가지고 있다는
것입니다. 바로 러시아어입니다. 랜섬웨어 표본이 컴퓨터에 내장된 것이 무엇인지 알면 전투에서 절반을 이긴 겁니다. 다음 단계는 안티멀웨어 랩을 찾거나 감염에 대응할 수 있는 무료 해독 도구를 갖는 것입니다.

4단계: 파일 해독하기

이제 사이버 공격자의 이름을 알았으니, 이제는 랜섬 제출을 전제로 하지 않는 파일 복구 솔루션이 있는지 알아봐야 할 때입니다. 유감스럽게도, 느슨한 곳에서 이러한 감염의 엄청 큰 양과 비교해볼 때, 무료로 해독 될 수 있는 랜섬웨어의 변형은 거의
없습니다. 랜섬웨어 크랙 이니셔티브에서 가장 성공한 보안 회사에는 Emsisoft, Kaspersky, Avast, AVG 및 Trend Micro가 있습니다. 아래에서 사용 가능한 무료 암호 해독기 목록과 해당 랜섬웨어 샘플에 대한 간략한 설명은 문제 해결을 위한 출발점이 될
것입니다.

랜섬웨어 이름

특징

파일 확장자: .777 랜섬 이메일 주소: seven_legion@india.com, ninja.gaiver@aol.com, kaligula.caesar@aol.com

파일 확장자: .R5A 랜섬 노트: FILES_BACK.txt

파일 확장자: .8lock8 랜섬 노트: READ_IT.txt

파일 확장자: 5 hexadecimal characters 랜섬 노트: Unlock_files_[victim_ID].html/txt

파일 확장자: .access_denied, .unavailable, .rga2adi 랜섬 노트: Read_Me.txt 랜섬 이메일 주소: cryptservice@inbox.ru

파일 확장자: .bin 랜섬 노트: README HOW TO DECRYPT YOUR FILES.html/txt

파일 확장자: .encrypted, .Encryptedfile,.FuckYourData, .SecureCrypted 랜섬 노트: Contact_Here_To_Recover_Your_Files.txt, How_To_Decrypt.txt, How_to_Recover_Data.txt, or Where_my_files.txt

파일 확장자: .encrypted, .locked 랜섬 노트: How_To_Decrypt.txt, How_to_Decrypt_Your_Files.txt, How_To_Get_Back.txt, or README.txt

파일 확장자: .[victim_ID]_blockchain@inbox.com

파일 확장자: [email_address]_.[random_8_characters]

파일 확장자: .locky 랜섬 노트: info.txt/html

랜섬 노트: Help Decrypt.html

파일 확장자: .bart.zip 랜섬 노트: recover.bmp/txt

 

파일 확장자: .bitstak

파일 확장자: .crypt 랜섬 노트: YOUR_FILES_ARE_ENCRYPTED.html

 

파일 확장자: {CRYPTENDBLACKDC}

파일 확장자: hexadecimal characters

파일 확장자: .crypt, .R16M01D05 랜섬 노트: HELP_DECRYPT.jpg/txt

파일 확장자: .encrypted 랜섬 노트: READ_THIS_TO_DECRYPT.html

파일 확장자: Lock.

랜섬 노트: How decrypt files.hta 랜섬 이메일 주소: unCrypte@outlook.com, decipher_ne@outlook.com, or decipher_ne@india.com

파일 확장자: .crinf 랜섬 노트: ReadDecryptFilesHere.txt

랜섬 노트: HOW_DECRYPT.txt/html/url

 

파일 확장자: .cryptoshield, .code, .lesli, .rmd, .rdmk, .scl, .rscl 랜섬 노트: # RESTORING FILES #.txt/.html, # HELP_DECRYPT_YOUR_FILES #.txt/.html

파일 확장자: .id-_locked, .id-_locked_by_krec, .id-_locked_by_perfect, .id-_x3m, .id-_r9oj, .id-_garryweber@protonmail.ch, .id-_steaveiwalker@india.com_, .id-_julia.crown@india.com, .id-_tom.cruz@india.com_,
.id-_CarlosBoltehero@india.com_, or .id-_maria.lopez1@india.com_

파일 확장자: .crypt, .crypz, .cryp1 랜섬 노트: !Recovery_[victim_ID].txt/html

파일 확장자: .CrySiS, .cry, .enc, .hb15, .locked, .xtbl

파일 확장자: original_index.php/html

파일 확장자: .777, .legion 랜섬 노트: read_this_file.txt

파일 확장자: .dharma, .wallet, .zzzzz 랜섬 노트: README.txt/jpg

 

파일 확장자: .encrypted 랜섬 노트: How_To_Decrypt_Your_Files.txt

파일 확장자: .centrumfr@india.com 랜섬 노트: CryptoLocker.txt, Help to decrypt.txt

 

파일 확장자: .Z81928819 랜섬 노트: READ_THIS_FILE.txt

파일 확장자: .globe, .purge, .xtbl 랜섬 노트: How to restore files.hta

파일 확장자: .decrypt2017 or .hnumkhotep

파일 확장자: .crypt 랜섬 노트: HOW_OPEN_FILES.hta

파일 확장자: .crypt

파일 확장자: .html

파일 확장자: .hydracrypt_ID_[8-character_victim_ID] 랜섬 노트: README_DECRYPT_HYDRA_ID_[victim_ID].txt

파일 확장자: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .gefickt, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, or
.uk-dealer@sigaint.org

파일 확장자: .encrypted 랜섬 노트: README_FOR_DECRYPT.txt

랜섬 노트: DECRYPT_YOUR_FILES.txt

 

파일 확장자: .LeChiffre 랜섬 노트: _How to decrypt LeChiffre files.html

파일 확장자: ._[timestamp]_$[email_address]$.legion

파일 확장자: .encrypted 랜섬 노트: README_FOR_DECRYPT-[random_number].txt

 

파일 확장자: .crime

파일 확장자: .oops 랜섬 노트: _HELP_Recover_Files.html

파일 확장자: .merry, .mrcr1, .pegs1, .rare1, .rmcm1 랜섬 노트: MERRY_I_LOVE_YOU_BRUCE.hta, YOUR_FILES_ARE_DEAD.hta

랜섬 노트: ATTENTION.rtf

파일 확장자: .crypted 랜섬 노트: DECRYPT.txt

파일 확장자: ._AiraCropEncrypted!, .maktub 랜섬 노트: How to decrypt your files.txt, Recupere seus arquivos. Leia-me!.txt

파일 확장자: .odcodc 랜섬 노트: Readthis.txt

파일 확장자: .locked, .VOZMEZD IE_ZA_DNR 랜섬 노트: HOW TO DECRYPT YOUR FILES.txt 랜섬 이메일 주소: santa_helper@protonmail.com, parkerm@protonmail.com

랜섬 노트: enc_files.txt

 

파일 확장자: .locked

파일 확장자: .id-[victim_ID]_maestro@pizzacrypts.info 랜섬 노트: Pizzacrypts Info.txt

 

파일 확장자: .rdm, .rrk 랜섬 노트: YOUR_FILES.url

파일 확장자: .id-[random_10_digits]_helpme@freespeechmail.org

파일 확장자: .locked-[original_filename].[random_4_chars]

파일 확장자: !____cocoslim98@gmail.com____.tar, !____glok9200@gmail.com____.tar, !__recoverynow@india.com__.v8

파일 확장자: .7h9r, .better_call_saul, .breaking_bad, .da_vinci_code, .heisenberg, .no_more_ransom, .windows10, .xtbl, .ytbl 랜섬 노트: README.txt

파일 확장자: .RSNSlocked

파일 확장자: .locked 랜섬 이메일 주소: clesline@212@openmailbox.org, getfiles@tutanota.com, paytodecrypt@sigaint.org, ransom64@sigaint.org, success!@qip.ru

파일 확장자: .szf

파일 확장자: .Xcri 랜섬 노트: Informer

랜섬 노트: HELP_TO_DECRYPT_YOUR_FILES.bmp/html/txt, Howto_Restore_FILES.bmp/html/txt, _how_recover_.bmp/html/txt

파일 확장자: .umbrecrypt_ID_[8-character_victim_ID] 랜섬 노트: README_DECRYPT_UMBRE_ID_[victim_ID].txt

파일 확장자: .wflx 랜섬 노트: HOW_TO_UNLOCK_FILES_README_[victim_ID].txt

파일 확장자: .crypted 랜섬 노트: Readme.txt

파일 확장자: .6FKR8d, .73i87A, .@EnCrYpTeD2016@, .antihacker2017, .ava, .EnCiPhErEd, .encoderpass, .error, .errorfiles, .fileiscryptedhard, .p5tkjw, .pa2384259, .PoAr2w, .xorist 랜섬 노트: HOW TO DECRYPT FILES.txt

이러한 암호 해독 도구는 대부분 사용하기 쉽습니다. 예를 들어, Emsisoft의 경우, 랜섬웨어 피해자가 임의로 암호화된 파일과 원래 버전을 끌어서 해독기 창에 끌어다 놓아야 합니다. 하지만, 일부 유틸리티의 경우, 명령 프롬프트 등을 사용하는 것과 같은
고급 기술이 필요합니다. 또한, 랜섬웨어 제작자는 이전에 공개된 해독기를 무력화하기 위해 코드를 수정하는 경향이 있습니다. 이 경우, 위의 목록이 도움이 될 것입니다. 추가 권장 사항은 검색 엔진에서 랜섬웨어의 이름을 검색하고, Bleeping Computer와
같은 전용 포럼을 검색하며, 위에서 언급한 ID 랜섬웨어 및 No More Ransom 서비스를 사용하는 것입니다. 최고의 예방 팁은 다음과 같습니다: 정기적인 데이터 백업을 유지하고 이메일 첨부 파일을 열지 말고, 안티 랜섬웨어 모듈이 장착된 안정적인 보안
소프트웨어를 사용하는 것입니다.

Leave a Comment (0) ↓