cerber3 랜섬웨어 복구해보자~~

랜섬웨어로 인해 변형된 파일을 복구해보자.

맨 아래 링크한 상세 복구기를 참고하시기 바랍니다.

랜섬웨어에 감염되면 파일이 암호화되어서 확장자가 바뀝니다.

제경우는 cerber3 였는데 사진과, 엑셀문서, PDF 등이 모두 암호화되어서

파일명이 이상하게 바뀌고 cerber3라는 확장자로 변경된다.

그리고  @___README___@.html, @___README___@.txt, @___README___@바로가기 문서  등의 파일이 생성된다.

혹시나 싶어서 변경된 파일의 확장자를 원래것으로 바꾸면 실행이 안된다.

암호화 되어서 그렇다.

 

 

 

이전에 나온 랜섬웨어는 복구툴이 있다고 하던데.

사용해보지 않았으니 PASS!!

폭풍검색후 cerber3의 복구툴은 현재까지 없는것으로 판단!!

회사 중요파일들이었기에 과감하게 복구하기로 선택!!

현재 복구해주는 업체들은 복구대행료를 받는다고 보시면 됩니다.

 

대충~~ 복구절차를 보자면

1. 비트코인 구매

2. 복호화 프로그램을 다운받음

3. 복호화 프로그램 실행으로 변형된 파일 정상화!!

 

참 쉽죠? ㅎㅎㅎ

근데 복구(복호화)프로그램이 없으며 말짱 도루묵이라는거~~~

추가 파일이 생성된 파일  README 를 읽어보면 (영어로 되어있음)

대충 이렇다. 복구하려면 어쩌구저쩌구 하면서 상세한 절차를 알려준다.

그게 위에서 설명한 복구절차이다.

근데 첫번째로 막히는 부분이 비트코인 구매절차이다

2016/09/24 - [정보] - cerber3 랜섬웨어 복구 성공 노하우~~ Ransomware 복구기

위 포스팅으로 보시면 상세하게 나옴~~~

비트코인 구매후 비트코인을

README파일속에 있는 보내기주소로 1비트코인을 보내준다.

참, 그리고 README파일의 링크주소로 들어가면

아래 그림맞추기가 있다. ㅎㅎㅎ

첨에 이게 뭔가 싶어서 한참을 삽질했다는...

요걸 통과해야 비트코인 보내기 주소 및 복호화 프로그램을 다운받을 수 있다.

 

그냥 별거 아니다. 위에 나오는 그림과 비슷한 그림을 클릭해서

9개의 그림중 비슷한 그림이 하나만 남을때까지 반복하시면

아래있는 Verify 녹색버튼이 활성화 된다. ㅎㅎㅎ

활성화된 버튼을 클릭하시면

비트코인 보내기 주소와 5일이내에 비트코인을 보내지 않으면

5일후에는 2비트코인을 보내야된다고 친절하게 안내해준다.

참고로 1비트코인은 약 70만원이 조금 안된다. (시세가 조금씩 변하는 모양이다.)

그러니 2비트코인이면 140만원정도라는 이야기다.

그래서 중요파일이면 빨리 결정하시고

별중요파일이 아니면 과감하게 포맷을 해버리라는 것이다.

비트코인 보내기가 완료되면 아래처럼 파일을 받을 수 있다.

파일받기 창에는 친절하게도 해커들(?)과 메세지를 주고 받을 수 있다.

실시간은 아니지만 그래도 친절(?)하게 답을 해준다. 신기..ㅎㅎㅎ

복구할때 잘 안되기에 안되는 영어를 하려고 이리저리 번역기돌려서 문의해본다. ㅎㅎㅎ

참 비참하다.

그래도 이녀석들 친절하게 답해준다. 투철한 직업정신(?)

내가 안되었던 내용은 이렇다.

복호화 프로그램을 받았지만

프로그램실행을 하면 안된다.

내려받은 Decryptor.exe 프로그램을 실행하면

첫화면 실행후 아래화면이 새창으로 떠야하는데

뜨자마자 사라진다.

이래저래 실행해도 안된다.

혹시나 호환성문제인가 싶어서 호환성보기 관리자권한 실행 등등으로 해봐도 안된다.

호환성실행시 윈도우me버전으로 했더니 창이 뜨긴 뜨는데

암호문자가 안보인다. 된장!!!

그러다 생각한게 컴퓨터를 옮겨서 해보자는 생각에

암호화된 폴더 하나와 복호화프로그램을

네트워크상의 xp가 깔린PC로 옮겼다.

그리고 실행

바로 뜬다. ㅎㅎㅎ 그리고 약 4~5시간에 걸쳐서 복구완료되었다.

복구된 파일수는 약 9만여개의 파일들이었다. 100% 복구되었고

복구가 되면 만들어졌던 README파일들은 모두 사라진다.

알게된 사실은 네트워크 연결된 PC까지 같이 검색해서 복구해준다. 굿!

그러니까 옆 컴퓨터에서 실행시키니 내컴퓨터까지 모두 복구되었다.

혹시 안되면 해커에게 안되는 내용을 보내주면 답해준다.

아래처럼 변형된 파일 하나를 업로드 하라고 한다.

 

한참을 기다리면 private key를 내려받을 수 있게 해준다.

그럼 그파일과 실행파일을 동일 폴더에 놓고 실행하면 된단다.

내경우는 이것까지 안가도 해결되었다.

 

 

더 이상은 메일 보내드리지 않습니다.
각각의 컴퓨터마다 암호화코드가 다르므로 복호화가 안됩니다.
혹시나 하는 마음에 많은 분들께 보내드렸지만
더이상은 받지 않도록 하겠습니다.