랜섬웨어 크립토락커(cryptolocker) 확장자 ccc, vvv, zzz 복구 방법

랜섬웨어 크립토락커 바이러스 감염 후 확장 ccc, vvv  xyz, abc, aaa, zzz 복구 작업

 

15년 11월 초, 파일 확장자가 모두 .ccc 로 변경되는  랜섬웨어바이러스 변종에 감염되어 바이러스는 치료하였지만 원본 파일을 복구할 수 없어 나중을 기약하고 따로 보관만 해 왔었는데, 드디어 인터넷에 복구 방법이 공개되어 어제 오후부터 오늘 오전까지 작업을 진행하여 모두 복구하였습니다.

 

[16년 6월 30일 추가  .xxx, .ttt, .micro, .MP3, 등 신형 랜섬웨어에 대한 마스터복구키가 공개되었다는 소식이 있습니다.

아래 주소를 방문하시어 자세한 내용을 확인하시기 바랍니다.

> 사이트 바로가기

영문사이트로 크롬으로 열고 '한국어번역서비스'를 이용하세요.]

 

복구한 파일 전체 용량은 40GB 정도이며 파일 종류는 사진, 동영상, MP3 일반 문서 등 다양합니다.

 

복구작업에 사용한 컴퓨터는 구형 듀얼코어에 32비트 운영체제가 설치된 탓에 작업시간은 상당히 오래 걸렸습니다.

 

주의: 저는 본문의 내용대로 작업하여 완벽하게 복구작업을 마쳤지만 컴퓨터 시스템 또는 작업 환경에 따라서 결과는 다르게 나타날 수 있습니다.

 

때문에 본문 내용을 따라하다 발생하는 모든 결과에 대하여 게시자는 아무 것도 장담하거나 책임질 수 없으니 모든 결과에 스스로 책임질 수 있는 분들만 따라하시기 바랍니다.

 

또한, 혹시 있을지 모르는 데이터 손상을 방지하시려면 감염된 파일 복사본을 다른 곳에 따로 저장한 후 작업하시기 바랍니다.

 

아참, 복구 작업 전에 바이러스 치료는 완료해야 합니다. (랜섬바이러스도 v3, 알약 등 무료백신으로 다 치료됩니다.)

 

그리고 본문 내용이 길어진 이유는 컴퓨터 초보분들께 설명한다는 생각으로 최대한 자세히 설명했기 때문입니다.

 

참고로 아래 사이트에서 랜섬웨어 바이러스 치료 및 복구에 대한 대부분의 정보 및 자료를 찾을 수 있으며, 현재 유포되고 있는 .mp3 확장자는 아직까지는 복구가 불가능하지만 시간을 두고 기다리면 ccc, vvv 확장자 처럼 복구할 수 있을 것으로 보입니다.

 

참고사이트 http://www.bleepingcomputer.com/ 

 

랜섬바이러스 확장자 .ccc, .vvv, .zzz 복구 순서 정리

 

복구작업에 필요한 프로그램 TeslaDecoder, Yafu 압축파일입니다.

한 곳에 다운 받은 후 아래 그림처럼 c:r 폴더에 압축을 풀고 시작하겠습니다.

 

TeslaDecoder.zip  yafu.vol1.egg

 

yafu.vol2.egg  yafu.vol3.egg

 

그리고 어차피 복구과정에서 사용되는 전문적인 내용은 알지도 못하고 알 필요도 없으니 그냥 작업내용을 순서대로 쭈욱 설명하도록 하겠습니다.

 

또한 프로그램이나 명령 창 실행 시 마우스 우측 버튼을 이용하여 관리자권한으로 실행하세요.

 

압축파일에 마우스 우측 버튼을 클릭하여 알약으로 압축풀기 (다른 압축프로그램을 사용해도 같은 방식으로 하면 됩니다.)를 선택한 후 아래 그림처럼 압축 풀 위치를 c:r 로 지정합니다.

 

압축을 풀 때 두 개의 프로그램이 있어야 할 폴더 이름을 따로 정해야 하는 것은 아니지만 아무래도 제가 작업한 환경과 동일한 상태에서 설명하는 것이 편할 것 같습니다.

 

아래 그림처럼 c:r 폴더에 TeslaDecoder, Yafu 폴더가 각각 만들어지면 이제부터 본격적으로 복구 작업을 시작합니다.

 

 

 

내컴퓨터를 열고 C:\r\TeslaDecoder 폴더에서 teslaviewer를 실행 시킨 후 실행 창 우측 상단에 있는 Browse 단추를 클릭하여 랜섬웨어에 걸린 파일의 위치를 찾아서 지정합니다.

 

그리고 하단에 있는 Create work.txt 버튼을 클릭하면 TeslaDecoder 폴더에 work.txt 파일이 자동으로 만들어집니다.

 

 

 

다음은 c:\r\yafu 폴더의 RunYafu.exe 파일을 찾아서 실행한 후 factorying Threads는 3으로 맞추고 바로 위쪽의 TuneYafu 버튼을 클릭합니다.

 


 

RunYafu.exe를 실행하면 아래와 같은 도스 명령 창에서 사전 작업이 진행되며 이 창이 자동으로 닫히면 작업이 완료되면 다음 과정을 진행합니다.

 

 

위의 작업이 완료되면 yafo 폴더에 있는 factorX86.bat  또는 factorX64.bat 배치 파일을 실행하는데, 32비트PC는 factorX86.bat 실행하고  64비트 PC는 factorX64.bat 실행합니다.


시스템종류 확인 방법은 아래 글 참고하세요.

 

32비트 64비트 구별법 및 컴퓨터사양 보는법(초보강좌)

 

 

 

 

 배치 파일을 실행하기 전에 먼저 TeslaDecoder 폴더의 work.txt 파일을 열고 privateKeyBC= 바로 아래쪽에 있는 내용 중에서 dec 뒷쪽 내용만 복사합니다.

(숫자 중간이 끊기거나 첫번 째 또는 마지막 숫자 앞 뒤로 공백포함하면 안 됨. 전체화면 상태에서 복사 권장)

 

 

 

* 배치 파일은 탐색기로 실행하면 그냥 닫히거나 오류가 날 수 있습니다. 때문에 프로그램 압축을 풀 때 굳이 c:r 폴더를 만들어 작업한 것입니다.*

 

배치 파일을 실행하는 순서는 아래 그림과 동일합니다. (관리자 권한으로 명령창을 실행하세요)

 

명령 창 관리자 권한으로 실행하는 방법은 아래 글을 참고하세요.

윈도우10 손상된 시스템파일 복구하는 방법, sfc.exe 사용법

 

처음 명령창이 열리는 위치는 c:\windwos\system32입니다. 그 상태에서 cd / 엔터를 치면 c: 최상위 폴더로 이동합니다.

다시 c:\>cd r 엔터를 치면 c:\r 폴더로 이동합니다. 

 

마지막으로 c:\r>cd yafu 엔터, 그리고 factorx86 또는 x64를 입력하고 엔터. (파일 이름 주의하세요. factorx 다음에 y 없습니다)

 

factorX86.bat  또는 factorX64.bat 배치 파일을 현재 시스템 종류에 맞춰서 실행한 후 명령 창이 열리면 위에서 복사한 내용을 아래 그림처럼 명령 창에 붙여넣고 엔터.

(명령 창에 마우스 우측 버튼 클릭 후 붙여넣기)

 

 

 

 Amount of Threads: 1 입력 후 엔터를 치면 본격적으로 작업을 진행하는데 이 부분에서 많은 시간이 소요됩니다. 이 부분까지 진행하고 퇴근 후 하루 지난 후 아침에 출근해보니 작업이 끝나 있었는데 로그를 보니 전체 12,471초의 시간이 걸린 것으로 기록돼 있었습니다. (64비트 컴퓨터로 진행하면 작업시간을 많이 단축할 수 있다고 하니 참고하세요)

 

 

 

위쪽의 작업이 끝나면 factors found 내용이 화면에 표시됩니다. 아래 그림에 p1부터 p52 까지의 숫자가 그 내용인데요 이 부분을 복사해야 합니다.

복사 방법은 명령 창에 마우스 우측 버튼을 클릭하고 '표시' 클릭 - p1부터 p52의 숫자 끝까지 드래그한 후 곧바로 키보드의 CTRL+c 를 눌러서 복사합니다.

 

주의: 공백이 포함되면 안 됩니다. 그림처럼 마지막 숫자 7197까지 정확히 맞춰서 복사합니다.

"no switch detected" 오류: 숫자를 복사해서 붙여넣을 때 빈 공간없이 한 줄로 이어져야 함.

 

 

 

이제 거의 다 왔습니다. TeslaDecoder 폴더의 TeslaRefactor.exe를 실행한 후 위에서 복사한 내용을 아래 그림처럼 텍스트 입력 창에 붙여넣습니다.

 

그리고 위쪽에서 만들어진 work.txt 파일을 다시 열어 PrivateKeyBC = / PublicKeyBC = 값을 Public key(hex) 부분에 입력합니다.

(참고로 이 부분에서 work.txt 파일의 PublicKeyFile = 값을 입력하라는 얘기도 있는데 제 경우 이 값을 입력하니 Private key(hex) 값을 찾지 못하였습니다.

혹시  PublicKeyBC = 값을 입력했는데 private key(hex)을 못 찾을 경우 반대로 PublicKeyFile = 값을 입력해서 다시 시도해보기 바랍니다.)

 

 마지막으로 Find private key 버튼을 클릭하면 Private key(hex) 값이 만들어집니다.
이 값이 바로 암호화된 파일을 풀 수 있는 해독 키입니다.

 

즉, Private key(hex) 값이 정상적으로 만들어지면 파일을 복구할 가능성이 매우 크다 하겠습니다.

 

 

이제 해독 키도 얻었으니 본격적으로 파일을 복구하는 일만 남았습니다.

 

TeslaDecoder 폴더의 TeslaDecoder.exe를 실행한 후, 아래 그림처럼 key(hex)에 위에서 복사한 Private key(hex) 값을 입력하고 Extension은 .xyz .ccc .vvv가 포함된 확장자를 선택하고 Set key를 눌러 줍니다.

 

 

 

드디어 마지막 과정입니다.  우측 하단의 Decrypt Folder를 클릭하여 암호화된 폴더를 지정해주면 곧바로 복구 작업이 진행됩니다.

(폴더 뿐만아니라 c:, d: 등 드라이브 전체를 선택해도 됩니다)

 

주의: 이 부분에서 예, 아니오를 묻는 창이 나타나는데 예,를 선택하면 복구된 파일만 남고 기존의 암호화된 파일을 삭제 됩니다.

아니오,를 선택하면 암호화된 파일도 삭제하지 않고 그대로 남게 됩니다.

 

암호화된 파일이 백업본이라면 예를 눌러도 상관 없겠지만 만약 원본이라면 아니오를 눌러서 만약의 사태에 대비하시기 바랍니다.

가능하면 백업본으로 작업하는 것을 권해드립니다.

 

 

 

위 그림 하단에 작업 기록을 보면 28,051개의 파일이 복구된 것을 알 수 있습니다. 저의 경우 백업본이 따로 있었기 때문에 예,를 눌러서 암호화 파일은 전부 삭제하였습니다.

 

아래 그림은 본격적으로 복구작업을 시작하기 전에 파일 몇 개만 테스트 했었는데 아니오,를 선택했었습니다.

복구 파일과 암호화된 파일이 모두 한 곳에 저장된 것을 알 수 있습니다.

 

아니오,를 선택하려면 해당 디스크의 남은 공간이 암호화된 전체 파일들의 용량보다는 커야하니 미리 확인하고 작업을 진행해야 되겠습니다.

 

 

이상으로 랜섬웨어 크립토락커(cryptolocker) 확장자 ccc, vvv, zzz 복구 방법에 대하여 자세히 알아보았습니다.

 

마지막으로 랜섬웨어 감염 시 시스템복구 파일을 이용하면 좀 더 쉽게 복구할 수 있다고 하니 시스템 디스크 뿐만아니라 저장용 디스크도 시스템보호 설정을 해 두는 것이 좋을 것 같습니다.

 

 

 

 랜섬바이러스 등 유해프로그램 차단하는 사용자계정 컨트롤(UAC) 

랜섬웨어 변종 신종 감염(ccc확장자) 증상 및 치료 복구 정보

 

본문에서 설명한 내용을 따라했지만 복구에 실패하신 경우 상단에 연결된 참고사이트를 방문하시어 방법을 찾아보시기 바랍니다.

크롬 번역서비스를 이용하시면 좀 더 쉽게 찾을 수 있습니다.

 

 

댓글(66)

티스토리 툴바