cerber3 랜섬웨어 복구 성공 노하우~~ Ransomware 복구기

아~~ 오늘 혼자 삽질 한다!!

어떤 경로로 랜썸웨어가 타고 들어왔는지 모르겠지만

엄청난 일이 벌어졌다.

일단 증상을 보자면

이미지, pdf, 엑셀문서등이 모두 확장자가 cerber3로 변경된다.

또한 동일 폴더에 @___README___@.html, @___README___@.txt, @___README___@바로가기 문서 가 생긴다.

복구 방법은 없다.

왜?

 

파일들이 암호화되어서 변경되기 때문이다.

방법은 단하나 복구화 프로그램을 돌려야 한다.

아직까지 복구툴이 나온게 없다.

랜썸웨어를 배포한 녀석들에게 돈을 주고 복구화프로그램을 받아서 실행해야만한다.

참 억울하다.

나또한 그냥 포멧을 하려다가 도져히 안될 파일들이 있기에

억울함을 무릅쓰고 복구화 프로그램을 구입해서 돌리는 중이다.

 

내 PC상에서 변형된 파일들만 약 9만개 정도의 파일들이다.

대부분이 이미지들이지만, 그중에 중요한 엑셀문서들이 있기에 ...

 

그럼 지금부터 복구하는 방법을 알려드리겠다.

인터넷상에 복구해주는 업체들도 거의 다 비트코인을 보내주고 복구화프로그램을 받아서 복구를 대행해 주는것이다.

직접해보니 별거 아니다.

일단 프로그램을 받기 위해서는 비트코인을 구매해야만 한다.

해외사이트는 도데체 뭔말인지 모르겠기에 국내 업체를 물색해서 찾았다.

https://www.bithumb.com/

이곳에 회원가입을 먼저 한다.

 

그리고 비트코인을 구입하기위해 현금을 예치한다

1비트코인을 보내줘야하니 약 70만원정도 예치하면

2만원정도가 남는다.

예치한 한화를 가지고 비트코인을 구매한다.

구매하고 사이트에 반영되는데는 10분정도 소요된다.

구매하고 난다음엔

 

위 사진처럼 비트코인 출금하기를 한다.

이때 상대방의 비트코인 주소가 필요한데

이건 @___README___@바로가기 문서를 들어가시고 약간의 인증(그림맞추기)을 거치면

아래그림처럼 안내페이지가 나온다.

주소를 입력하시고 비트코인을 보내기를 하시면 되는데

여기서 시간이 좀 걸린다.

비트코인을 구매한 업체에서 전화가 온다.

왜 출금을 하는지 물어본다. 그때 랜썸웨어땜에 그런다하면

시간이 촉박하므로(지체되면 두배가 됨)

빠른 처리를 해주는데 필요한 서류가 있다 (4가지)

1. 신분증(주민번호 뒷자리 지우고) 사진,

2. 아래 비트코인주소 나온 사진

3. 파일 암호화 되어 변환된 사진

4. 은행 거래내역 사진(아까 70만원 예치한거)

이렇게 4개의 파일을 첨부해서 사이트아래있는 메일 (contact@bithumb.com) 이리로 보내면

관리자 확인후 비트코인을 출금해 준다.

 

 

출금이 완료되면 아래처럼 status의 pending 진행상태가 나온다.

이게 100%가 되야하는데 좀 시간이 걸린다. 내경우는 약 30~50분정도 소요된것 같다.

 

완료되어서 화면을 새로고침해주면 아래처럼 복호화프로그램을 다운로드 할 수 있다.

다운받은 프로그램 decryptor.exe 을 실행시키면 알아서 복구해준다.

단, 내경우는 복호화 프로그램이 실행이 안되서 고생했다.

아마도 윈도우7 64비트의 경우에 호환이 안되는거 같다.

프로그램 실행시 인증코드 넣는화면이 뜸과 동시에 사라지는 현상 발생... 헐.

호환성 설정해도 마찬가지...

컴퓨터를 옮겨가면서 테스트해본결과 xp에서는 무난하게 돌아간다.

실행이 되면 아래처럼 복호화가 진행되면서 지긋지긋한 싸움도 끝난다.

복호화는 좀 오래걸리는것 같다.

내경우는 주말내내 컴퓨터를 켜놓아야 할듯하다.

아래처럼 암호화되었던 것들이

 

요렇게 변한다. 불행중 다행이라고 해야하나.

중요한 파일이 아니시면 그냥 포멧하시고

저처럼 회사 중요메일이라면 직접 복구해도 별로 어렵지 않으시 시도해보시기 바랍니다.

하다가 막히시면 댓글 남겨주시면 아는대로 알려드리겠습니다.

공감과 공유 많이 많이 해주세요.

 

복구파일 원하시는 분들이 많은데,

보내드려도 복호화 될 가능성이 거의 없습니다.

개인 PC마다 암호화되는 코드가 다릅니다.

혹시나 하면서 간절하게 원하시는 분들은 이 글을 공감/공유해주시고

비밀덧글 남겨주시기 바랍니다.

 

2017년 3월 30일

더 이상은 메일 보내드리지 않습니다.
각각의 컴퓨터마다 암호화코드가 다르므로 복호화가 안됩니다.
혹시나 하는 마음에 많은 분들께 보내드렸지만
더이상은 받지 않도록 하겠습니다.