랜섬웨어 복구 툴입니다

보안 도구 2016. 8. 31. 20:36

===== 랜섬웨어로 암호화된 file 복구법 =====

( 현재 teslaCrypt 0.3.4a ~ 2.2.0까지 보구 가능 : ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, … 복구 )

1. TeslaDecoder down 받아 압축 해제 ( http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip )

2. 압축 해제된 directory에서 TeslaViewer.exe를 실행 시킴

3. teslaviewer의 [Browser…] 버튼을 눌러 암호화된 file 한개를 읽어 들이면 그림에서 처럼

encrypt 정보가 표시됨

===== 랜썸웨어로 암호화된 file 복구법 =====

( 현재 teslaCrypt 0.3.4a ~ 2.2.0까지 보구 가능 : ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, … 복구 )

1. TeslaDecoder down 받아 압축 해제 ( http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip )

2. 압축 해제된 directory에서 TeslaViewer.exe를 실행 시킴

3. teslaviewer의 [Browser…] 버튼을 눌러 암호화된 file 한개를 읽어 들이면 그림에서 처럼 encrypt 정보가 표시됨

4. 하단의 [Create work.txt] 버튼을 누르면 Teslaviewer.exe 가 있는 folder에 work.txt가 생성됨

5. work.txt file을 연후 상단에 있는 PrivateKeyBC의 SharedSecret1*PrivateKeyBC의 dec 값을 복사한다.

6. 공개키를 소인수 분해한 값들을 찾아 주는 Yafu program을 다운 받아 압축을 해제한다.http://download.bleepingcomputer.com/td/yafu.zip

7. 방금 압축해제한 folder에서 RunYafu.exe program을 찾아 실행시킨 후 가운데 있는 [TuneYafu] 버튼을 눌러 yafu 실행 환경을 최적화 시켜 준 후(CMD 창이 열려 작동후 자동으로 닫힌 후) Runyafu를 닫음, 다른건 건드릴 필요없이 아래 그림의 동그라미 친 버튼만 누르면 됨 (몇분 소요됨)

8. 다시 압축해제한 folder에서 자신의 OS가 32bit이면 factorX86.bat, 64bit이면 factorX64.bat batch file을 실행시킨다.

9. Enter DEC SharedSecret1*PrivateKeyBC: 부분에 조금전 5. 에서 복사했던 십진값을 붙여넣기 한다. ( CMD 창 Title에서 오른 마우스 클릭후, [편집] -> [붙여넣기] )

10. Amount of Threads: 에 자신의 CPU core에 맞게 2 또는 4 등을 입력하고 Enter키를 누른다.
( 결과 나오기까지 시간 많이 소요됨 )

11. 결과로 나온 ***factors found*** 아래에 P1, P2, … 의 내용들을 선택하여 복사한다. ( CMD 창의 title에 우측 마우스 버튼을 누른후, [편집]->[표시]를 한후 복사할 부분을 마우스 드래그하여 선택, title에서 우 클릭후, [편집]->[복사] )

12. TeslaDecoder folder로 다시 돌아 가서, TeslaRefactor.exe file을 실행시킨후, 앞에서 복사한 내용을 붙여 넣기 한 후에 값에 대한 내용만 남겨 두고, = 앞부분을 모두 지워준다.

13. Public key(hex) 부분에 5.의 work file에서 PublicKeyBC = 에 해당하는 16진 값을 복사하여, 붙여 넣고 [Find private key] 버튼을 클릭하면, [Private key(hex)]에 복구를 위한 16진 암호가 나타나는 데, 이것을 복사해둔다.

14. TeslaDecoder folder의 TeslaDecoder.exe를 실행시킨 후, [Set key] 버튼을 누른 후key(hex)에 앞에서 복사한 key 값을 붙여넣기 한후, Extension 부분에서 해당 확장자를 선택한후, [Set key] 버튼을 클릭한다.

15. [Decrypt Folder] 버튼을 클릭한 후 암호화된 file이 저장되어 있는 folder를 선택한다.

16. 대화창이 나타나면서 암호화된 file을 복구후에 삭제할 것인지를 묻는데, 삭제하려면 [예(y)]를 보존하려면 [아니오(N)]를 클릭하여 암호화된 file을 복구한다.

추가로 랜섬웨어 복구툴 URL

http://esupport.trendmicro.com/solution/en-US/1114221.aspx

4. 하단의 [Create work.txt] 버튼을 누르면 Teslaviewer.exe 가 있는 folder에 work.txt가 생성됨

5. work.txt file을 연후 상단에 있는 PrivateKeyBC의 SharedSecret1*PrivateKeyBC의 dec 값을 복사한다.

6. 공개키를 소인수 분해한 값들을 찾아 주는 Yafu program을 다운 받아 압축을 해제한다.http://download.bleepingcomputer.com/td/yafu.zip

7. 방금 압축해제한 folder에서 RunYafu.exe program을 찾아 실행시킨 후 가운데 있는 [TuneYafu]

버튼을 눌러 yafu 실행 환경을 최적화 시켜 준 후(CMD 창이 열려 작동후 자동으로 닫힌 후) Runyafu를닫음, 다른건 건드릴 필요없이 아래 그림의 동그라미 친 버튼만 누르면 됨 (몇분 소요됨)

8. 다시 압축해제한 folder에서 자신의 OS가 32bit이면 factorX86.bat, 64bit이면 factorX64.bat batch file을 실행시킨다.

9. Enter DEC SharedSecret1*PrivateKeyBC: 부분에 조금전 5. 에서 복사했던 십진값을 붙여넣기 한다.

( CMD 창 Title에서 오른 마우스 클릭후, [편집] -> [붙여넣기] )

10. Amount of Threads: 에 자신의 CPU core에 맞게 2 또는 4 등을 입력하고 Enter키를 누른다.
( 결과 나오기까지 시간 많이 소요됨 )

11. 결과로 나온 ***factors found*** 아래에 P1, P2, … 의 내용들을 선택하여 복사한다.

( CMD 창의 title에 우측 마우스 버튼을 누른후, [편집]->[표시]를 한후 복사할 부분을 마우스

드래그하여 선택, title에서 우 클릭후, [편집]->[복사] )

13. Public key(hex) 부분에 5.의 work file에서 PublicKeyBC = 에 해당하는 16진 값을 복사하여,

붙여 넣고 [Find private key] 버튼을 클릭하면, [Private key(hex)]에 복구를 위한 16진 암호가

나타나는 데, 이것을 복사해둔다.

15. [Decrypt Folder] 버튼을 클릭한 후 암호화된 file이 저장되어 있는 folder를 선택한다.

16. 대화창이 나타나면서 암호화된 file을 복구후에 삭제할 것인지를 묻는데, 삭제하려면

[예(y)]를 보존하려면 [아니오(N)]를 클릭하여 암호화된 file을 복구한다.

RansomwareFileDecryptor 1.0.1569 MUI.zip

추가로 랜섬웨어 복구툴 URL

http://esupport.trendmicro.com/solution/en-US/1114221.aspx

'보안 도구' 카테고리의 다른 글

[정보 수집 도구] FOCA 란?, FOCA 사용법 (0)	2016.09.19
[웹 프록시 툴] BurpSuite 사용하기 (0)	2016.09.02
[웹 디버깅 툴] HttpWatch 사용법 (1)	2016.09.01
[모의해킹(Pentesting) 도구] Backdoor-Factory 사용법 (0)	2016.09.01
[맬웨어 제로킷] Malware Zero Kit 악성코드 제거 툴 mzk (0)	2016.08.31

Diano.

http://www.diano.kr / 이사하는중 /