CTB Locker 랜섬웨어 또는 암호화된 파일을 여는 방법

 
UAB DIGIMA

CTB Locker

CTB Locker 랜섬웨어 (때로 Critoni 또는 CBT Locker으로 불린다) 는 2014년 7월에 처음으로 알려졌습니다. 이 바이러스는 다양한 파일을 암호화하는 목표를 가지고 이 파일들의 암호를 풀기위해 랜섬을 요구합니다. Windows의 거의 모든 버전, Windows XP, Windows Vista, Windows 7 및 Windows 8은 이러한 랜섬웨어로 영향을 받을 수 있습니다. 이러한 악성 코드의 배타적인 기여는 TOR에서 명령 및 제어 서버로 커뮤니케이션됩니다. 흥미로운 사실은 모든이들이 약 $3,000로 CTB Locker를 구매할 수 있다는 것입니다. 그 액수의 돈으로, 여러분은 기본 키트를 갖고 모든걸 올바르게 설치하는 방법에 대해 CTB Locker의 개발자의 전체 지원을 받을 수 있습니다. 이는 다양한 모습을 가진 많은 바이러스 버전이 나왔음을 의미합니다. 이 자체가 설치되기전 감지 및 제거를 하는 능력을 갖춘 Spyhunter, malwarebytes와 같은 안티 악성 코드 도구를 통해, 악성코드는 시작 된 이후로 몇 번이나 변경됩니다.

Critoni에 의해 암호화된 모든 파일은 CTBL 형식으로 설정되며 열 수 없습니다. 일단 설치되면, 이 랜섬웨어는 여러분이 가지고 있는 파일이 무엇인지 알아내기위해 컴퓨터를 스캔하고 이들 중 더 큰 부분을 암호화합니다 (전부가 필수는 아닙니다). 다음으로 일어나는 일은 큰 창이 여러분의 화면에 나타납니다. 이것은 아래처럼 보입니다 (아래를 보십시오). 이는 여러분의 개인 파일이 암호화되었다는 것을 표시하며, 여러분이 돌아오길 원할 때 약 $120의 랜섬을 지불하는걸 요구합니다. 지불은 비트코인(Bitcoin) 지불 시스템을 사용하여 완료됩니다.

CTB

여러분의 컴퓨터가Critoni로 감염된 경우, 여러분은 컴퓨터에서%Temp% 폴더에 랜섬 이름으로 파일을 확인하실 수 있어야합니다. 이 악성 코드는 여러분이 시스템이 로그인할 때 마다 시작될 것입니다. CTB Locker 는 사용자 파일을 암호화 하기 위해 타원 곡선의 암호 해독술을 사용합니다, 이는 꽤 독특한 방법으로 알려졌습니다. CTB Locker 가 시스템 스캐닝과 파일 암호화를 완료하면, 랜섬 지불 방법에 대한 지시사항을 갖춘 메시지를 보게될 것입니다. 더욱이, 여러분의 배경화면은 랜섬 지불방법에 대한 세부 정보를 찾을 수 있는 %MyDocuments%AllFilesAreLocked .bmp 파일로 변경될 것입니다. 다른 파일도 만들어질 것이며 사용자가 %MyDocuments%DecryptAllFiles <user_id>.txt 및%MyDocuments%.html에 접근이 가능하게합니다. 그리고 여러분은 악성코드 공식 웹사이트로 가기위해 필요로하는 정보를 찾고 지불을 완료하게될 것입니다. 명령 및 제어 서버로 주고받는 것이 인터넷이 아닌 TOR를 통해서만 독점적으로 실행되기 때문에, 이 랜섬웨어를 추적하기 위해 법을 집행 하는 것은 더욱 어렵습니다. 하지만 불가능한건 아닙니다. 여러분의 시스템이 재실행되는 것을 매시간 알으셔야합니다, CTB Locker악성코드는 %Temp%에서 새로운 이름과 랜덤 이름 자체를 복사하므로 수천만개의 이상해 보이는 파일이 있으면 발견할 수 있습니다.

현재, 첫 단계에서 여러분의 컴퓨터가Citroni 랜섬웨어로 감염되었다는 것을 깨달았다면Spyhunter 또는 malwarebytes와 같은 믿을 수 있는 안티 악성코드로 시스템을 스캔하시기 바랍니다. 서두를수록 더 좋습니다. 여러분의 파일들이 암호화된 메시지를 화면에 표시하기 전에, 컴퓨터에서 악성 코드 어플리케이션을 발견하는 것은 정말 어렵습니다, 그러므로 이런일이 발생하는 것을 예방하기 위해 한번씩 여러분의 컴퓨터를 스캔하는 것이 좋습니다. 하지만, 여러분의 파일이 이미 암호화되었더라도 PC를 스캔하고 감염된 것을 제거할 수 있습니다. 이것을 수동으로 수행하길 원하는 경우, 여러분은 %Temp% 폴더에서 모든 실행가능한 것들과 윈도우즈 작업 스케줄러에 숨겨진 것들도 제거하셔야 합니다. 이는 바이러스만 제거할 수 있으며 이미 암호화된 파일은 해독되지 않을 것입니다. CTB Locker로 암호화된 파일을 해독하기위한 능력은 없습니다. 암호화된 파일을 되찾아 오기 위한 방법은 오직 두가지 뿐입니다 – 랜섬을 지불하거나 백업으로 파일을 불러오는 것입니다. 어떤 파일이 암호화 되었는지 알아내기위해 %MyDocuments%.html 파일을 여시고 복원하셔야 합니다.

CTB locker 에 의한 메시지는 이렇게 나타납니다:

당신의 개인 파일이 암호화되었습니다.%f0%%c0%

문서, 사진, 데이터베이스, 기타 중요한 파일들이 가장 강력한 암호로 암호화되었으며 이 컴퓨터를 위해 만들어진 고유키를 가지고 있습니다.

개인 해독 키는 비밀 인터넷 서버에 저장되며, 개인키를 지불하고 받을 때까지 여러분의 파일을 열 수 있는이는 아무도 없습니다.

메인 잠금창을 보시고, 잠금에 대한 지시사항을 따르시기 바랍니다. 남달리 현명하게, 여러분과 여러분의 안티바이러스가 잠금 프로그램을 삭제한 것 같습니다. 지금 여러분의 파일의 암호를 풀기위한 마지막 기회를 갖으실 수 있습니다.

  1. 여러분의 인터넷 브라우저에서%c1%http://torproject.org%c0%를 입력하세요. 이는 Tor 사이트를 열 것입니다.
  2. ‘Tor 다운로드’를 누르고, ‘Tor 브라우저 번들 다운로드’를 누르신다음, 설치하고 켭니다.
  3. Tor 브라우저를 갖고 계십니다. Tor Browser에서, %c1%http://%onion%/%c0%를 여시기 바랍니다.

이 서버는 오직Tor 브라우저를 통해서만 이용가능합니다.

사이트에 접속할 수 없는 경우 1시간 후에 다시 시도 하십시오.

  1. Write in the following public key in the input form on server. Avoid misprints.

%f1%%c1%%key%%f0%%c0%

  1. 서버에서 지시사항을 따르시기 바랍니다.

이 지시사항들은 문서 폴더에DecryptAllFiles.txt라고 저장됩니다. 여러분은 이걸 열고 주소와 키를 위해 복사-붙여넣기를 사용하실 수 있습니다.

암호화된 파일을 여는 방법

앞서 언급했듯이, CTB Locker에 의해 암호화된 파일을 푸는 것은 불가능합니다. 사이버 범죄자인 랜섬에 돈을 지불하는걸 원치 않는 경우, 백업으로 파일을 복원하실 수 있습니다. 이걸하기위한 몇 가지 방법이 있습니다.

최고의 옵션은 모든 시스템 설정과 윈도우즈 백업 설정을 복원하는 것입니다. 하지만, 여러분이 이전에 백업 설정을 한 경우에만 가능합니다. 이전에 백업을 하지 않았다면, 시스템을 복원하는건 불가능합니다. 유효한 복원 파일을 가지고 있더라도, 이들이 저장한 디렉토리가 윈도우즈 백업으로 포함되지 않는 경우 잃어버린 파일을 불러오는건 불가능합니다 (설정에서 선택하실 수 있습니다).

다음 방법도 꽤 효과적일 수 있습니다. CTB locker 는 파일을 그냥 부호화하지 않습니다 – 파일의 사본을 만들고 이를 암호화하며 기존 파일을 삭제해버립니다. 이러한 이유로, 여러분은 잃어버린 파일을 복원하기위해 특정한 소프트웨어를 사용하실 수 있습니다. 예를 들어, R-Studio 또는 Photorec이 이 과업을 수행할 수 있습니다, 이는 여러분이 더 오래기다릴 수록 삭제된 파일과 암호화되지 않은 파일을 되찾기위한 복원 프로그램을 파일화하는 것을 더 힘들게 하기 때문에 CTB locker가 여러분의 시스템에 있게된 후에는 오래 지연하는걸 권장하지 않습니다.

볼륨 섀도 복사본

운영 시스템에서 시스템 복원 옵션을 사용하지 않는 경우, 볼륨 섀도 복사본을 사용할 기회가 있습니다. 이는 시스템 복원 스냅샷이 만들어질 때 파일의 복사본을 저장합니다. CTB Locker는 모든 가능성있는 볼륨 섀도 복사본을 삭제할 것입니다, 하지만 가끔 실패하기도 합니다. 볼륨 섀도 복사본은Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8로만 이용가능합니다. 볼륨 섀도 복사본을 통해서 여러분의 파일을 불러올 방법은 두 가지가 있습니다. 네이티브 윈도우즈 이전 버전이나 섀도우 익스플로러(Shadow Explorer)를 사용하여 이를 하실 수 있습니다.

네이티브 윈도우즈 이전 버전

암호화된 파일에 오른쪽을 클릭하고 속성>이전 버전탭을 누릅니다. 이제 여러분은 이용가능한 특정 파일의 사본을 확인하실 수 있으며 볼륨 섀도 복사본에 저장되었을 때를 확인하실 수 있습니다. 여러분이 되찾아오길 원하는 파일의 버전을 선택하시고, 자신의 디렉토리에 저장하길 원하는 경우, 복사를 클릭하세요, 또는 기존의 암호화된 파일을 대체하길 원하는 경우 복원하세요. 우선 파일의 콘텐츠를 보길 원하신다면, 열기를 클릭하세요.

native Windows Previous Versions

섀도우 익스플로러(Shadow Explorer)

이것은 온라인에서 무료로 발견할 수 있는 프로그램입니다. 여러분은 섀도우 익스플로러(Shadow Exlorer)의 전체 또는 일부 버전을 다운로드할 수 있습니다. 프로그램을 열고 상단 왼쪽에서 찾고자 하는 저장된 파일이 있는 드라이브를 선택하세요. 그 다음, 여러분은 드라이브에 있는 모든 폴더를 보실 수 있습니다. 전체 폴더를 되찾아오기위해, 오른쪽을 누르고 “보내기”를 선택하세요, 그리고 저장하길 원하는 곳을 선택하시면됩니다. 이것이 전부입니다.

ShadowExplorer

DropBox에 암호화된 파일을 복원하는 방법

DropBox를 파일을 저장하기 위해 사용하고 (대부분의 경우, 웹 기반 저장 서비스) 암호화한 경우, 여러분은 아래에 있는 몇 가지 조언을 사용하실 수 있습니다.

DropBox에서 암호화된 파일을 되찾아오기 위해 DropBox 웹사이트에서 여러분의 계정에 로그인 하실 수 있습니다. 그리고 저장된 것을 되찾아오길 원하는 경우 폴더를 찾아보실 수 있습니다. 파일에서 오른쪽을 클릭하여 이전 버전 옵션을 선택하세요. 이제 여러분은 (볼륨 섀도우 복사본처럼) 주어진 파일의 이전 옵션을 이용하실 수 있습니다. 원하는 버전을 선택하시고 복원 버튼을 누르세요.

dropbox