랜섬웨어로 인한 피해가 커지고 있는 요즈음입니다.

불법적인 파일을 다운로드하지 않는 등 예방이 최우선이겠지만

일단 악성코드가 심어진 후에는 복구를 해야겠지요.

 

랜섬웨어(ccc,vvv,xyz,abc,zzz) 복구방법 100% 복구 가능합니다.

랜섬웨어 ccc,vvv,xyz,abc,zzz 확장자로 변경된 파일들은 모두 복구 가능합니다.

랜섬웨어 복구 방법으로 검색을 하게 되면 복구 업체 광고들만 나오게 되는데요

일단 바이러스에 걸리면 바이러스 치료후에 복구 방법이 많이 전파 될때까지 변형된 파일들을 방치하는것을 추천합니다.

 

몇몇 블로그에서 복구 방법 포스팅을 하여 복구를 하게 되었는데요

복구 방법을 따라하게 되면서 잘 진행이 안되던 부분이 있어 무려 2시간이나 걸렸는데요.

2015년 12월 겨울 바이러스가 걸려 사진들이 모두 ccc로 변형되고 말았습니다. 다행히 포멧은 하지 않고 바이러스만 치료후 그대로 방치하고 있었는데요.

 

이번에 잊고 있던 바이러스로 인해 변형된 ccc 파일을을 복구해 보았습니다.

이 복구 방법을 하게 되기전에 1월달에 나온 복구 방법으로 도전해 보았으나 복구 할수 있는 프로그램을 설치 하는과정에서 막히게 되어 기약없이 접어 두기도 했었는데요

암튼 복구 방법을 진행해 보겠습니다.

1. 첨부 파일의 TeslaDecoder을 압축해제한다

 

TeslaDecoder.z01

 

TeslaDecoder.z02

 

TeslaDecoder.z03

 

TeslaDecoder.zip


2. TeslaDecoder폴더내  TeslaViewer 실행한다.


3. TeslaViewer > Browse... > 랜섬웨어 걸린 파일을 선택하여 열기 > Create work.txt 버튼을 누름

 


4. TeslaDecoder폴더안에 work.txt 파일이 생성되었다는 팝업이 발생.


5. TeslaDecoder폴더안에 work.txt 텍스트 문서를 열어 dec 부분을 복사합니다.

 

 

 

6. TeslaDecoder > yafu > RunYafu.exe 파일을 실행한 후 Factoring Threads: 3입력후 Tune Yafu실행

 

 

7. Tune Yafu실행시 VCOMP100.DLL 이가 없어 프로그램을 시작할 수 없다는 팝업이 발생할수 있습니다. 첨부파일의 VCOMP100.DLL 파일을 yafu 폴더에 복사해 주세요.

 

vcomp100.dll


8. Tune Yafu실행하면 cmd 창이 나타나면서 무엇인가를 하는데요 자동으로 사라질때까지 기다려 주셔야 합니다.( 어떤 블로그에는 이 팝업에 대한 설명이 없어서 이게 잘 되고 있는것인가 의문이 들어 몇번이나 cmd창을 닫아 버렸어요.. )

 

 

9. 도스창이 사라 졌다면 yafo폴더에 factorX86.bat 또는 facotrX64.bat배치 파일을 실행하는데
32비트는 factorX86.bat 를 실행하고 64비트는 facotrX64.bat실행하여야 합니다. (관리자 권한으로 명령 프롬프트를 실행해야 됩니다)

 

 

 

 

10. 관리자 권한으로 명령 프롬프트를 실행합니다.

11. 도스창에 factorX86.bat 을 실행해야 되는데요 저의 경로는 D:\C\TeslaDecoder\yafu\factorX86입니다.

 

 

 

12. Enter DEC SharedSecret1*PrivateKeyBC: 에 work.txt 텍스트 문서에서 dec 부분을 복사한 부분을 붙여 넣고 엔터 하면됩니다. 이때 주의점으로는 복사한 숫자 앞뒤로 빈공간이나 중간에 빈공간이 있어서는 안됩니다.
이제 곧 끝나 갑니다. 

 

 

 

13. Amount of Threads:1 을 입력하고 엔터 (타 포스팅된 블로그에서는 시간이 무척 오래 걸린다고 했는데 그렇게 오래 걸리지 않았습니다. 1분 정도 걸립니다.)

 

 

 

14. 계속 하려면 아무 키나 누르십시오 란 문구가 나오면 끝났습니다.


15. ***factors found***   (  )  ans = 1 사이에 있는 문자를 복사를 해야 됩니다.

 

 

16. 도스창에서 마우스 오른쪽 버튼을 누루고 표시 저는 P1에서 부터 P10 까지 복사를 하면 됩니다.
쭉 드래그 한다음 엔터 그러면 복사가 됩니다.


17. TeslaDecoder폴더의 TeslaRefator.exe를 실행한 후 복사한 내용을 입력창에 붙여 넣습니다.

 

 

 

18. Public key(hex) 입력하여야 하는데요 work.txt 텍스트 문서에 PublicKeyBC 값을 입력하면 됩니다.

 

19. 자 이제 모든 작업이 끝났습니다. 비밀키값만 얻는 순간입니다. Find private key 버튼을 눌러 주세요

 

 

 

20. Private key(hex) 비밀키가 얻어 졌습니다. 너무 기쁘네요 이 순간이 제일 기뻐던거 같아요
제 비밀키는 1AD35B4EE004A538AF999583533B8DE38BBD656944EC9A07522F98ABAD148C99 입니다.
이 비밀키를 얻게 된다면 위 과장을 모두 하였으므로 너무나 쉬웠던 과정이라고 생각이 되길겁니다.
21. 이제 비밀키를 얻었다면 바이러스로 인해서 변경된 파일을 모두 복구 가능합니다.
TeslaDecoder폴더내 TeslaDecoder.exe 파일을 실행시킵니다.

 

 

 

22. Set key 버튼을 눌러 비밀키를 입력하고 EXtension 종류를 알맞게 골라 준후 Set key버튼을 눌러 주면됩니다.

 

 

 

 23.Decrypt Folder - 폴더를 하나식 지정해서
Decrypt All - 전체

 

 

예 버튼을 누루면 바이러스로 인해 변경된 파일이 삭제되고 복구된 파일만 남게 됩니다.

 

1 files decrypted 로 1개의 파일이 복구가 되었습니다.


음 제가 복구하면서 막히던 부분이 있었고 1월달에 나온 복구하는 포스팅에서는 막히는 부분이 있어서 포기를 했었는데요

이제는 예전에 나온 랜섬웨어ccc,vvv,xyz,abc,zzz 는 복구가 가능하기 때문에 안심해도 되겠습니다.

그렇지만 계속해서 변종 랜섬웨어가 나오고 있습니다. 바이러스에 걸리지 않게 조심해야 겠어요.

만약에 신종 변종 랜섬웨어가 걸려 사진, 동영상, 파일들이 변형이 된다면 일단은 바이러스를 치료후에 기다려 보는걸 추천해 봅니다.

추후에 변종 랜섬웨어도 위와 같이 복구가 가능할지도 모르니까요.

추후 변형된 파일들도 복구 방법이 나오게 되면 포스팅을 해보도록하겠습니다.

위 방법으로 잘 되지 않는 분들은 댓글 남겨 주세요..

 

 

글 출처 : https://lisiauthus.tistory.com/139