[팁] 랜섬웨어 복구 추가 설명 (CCC, VVV 및 기타 초기 TeslaCrypt) 정보
[팁] 랜섬웨어 복구 추가 설명 (CCC, VVV 및 기타 초기 TeslaCrypt)
본문
내가 직접 의뢰받았던 경우 1:1 정도의 비율로 CCC : VVV였다. CCC의 경우도 VVV와 크게 다르지 않았는데 한 분의 경우는 특히 하게도 teslacrypt.py로 추출하는 공개키 값이 파일마다 각기 달랐다.
이 경우 해결 방법은 다음과 같다.
1. 각 암호화된 파일들을 teslacrypt.py로 돌린다.
보통 우리가 참고하는 위의 AES public key 값이 아닌 그 아래에 있는 Bitcoin key 값을 참고한다.
2. 모든 파일들의 Bitcoin key 값이 같을 것이다. 그렇다면 그 값을 소인수분해한다.
3. 소인수분해가 완료되면 다음 명령을 실행한다.
python unfactor.py <샘플파일> <소인수분해한값들>
4. "Found Bitcoin private key"라고 하며 비트코인 비밀키 값이 아래에 나온다. 작업 텍스트 파일에 잘 복사해둔다.
5. 위에서 소개한 TeslaDecoder이라는 툴을 다운로드한다:
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
6. TeslaDecoder를 실행한다.
1. http://drakor.blog.me/220585994910Viewer
2. http://drakor.blog.me/220587824042Viewer
3. http://drakor.blog.me/220591020297Viewer
4. http://drakor.blog.me/220593568494Viewer
더 근원적 자료인 googulator님의 글의 링크입니다.
https://github.com/Googulator/TeslaCrackViewer
필요한 도구는 첨부에 넣어 두었습니다.
랜섬웨어로 고생하시는 분들과 복구를 해주시는 분들에게 도움이 되었으면 합니다.
0
댓글 2개
