Aviso Ransomware - 제거하는 방법?

 

Aviso 랜섬웨어는 스페인에서 비롯되었습니다. 단어 aviso는 한글로 경고를 의미합니다. 이 랜섬웨어는 2016 년 10월에 감지되었으며, TorrentLocker 랜섬웨어의 새로운 변종으로 간주됩니다. Aviso 크립토멀웨어는 Windows OS와 호환되는 AutoIt로 쓰여졌습니다. 따라서, Aviso 랜섬웨어 바이러스 개발자의 주요 타깃은 Windows 사용자입니다. 더 자세히 말하면, 이 랜섬웨어의 해커는 주로 스페인에 있는 Windows 사용자를 목표로 합니다. 또한, 영어 사용 국가, 포르투갈, 이탈리아, 체코 및 브라질에 있는 사용자도 목표 타깃입니다. Aviso 바이러스에 대한 추측으로 볼 때, 이 랜섬웨어의 제작자는 더 많은 국가로 이 바이러스를 확산시킬 것입니다.

Aviso 랜섬웨어가 피해자의 기기에 영향을 미치는 방법

통상적인 랜섬웨어 바이러스 개발자로써, Aviso 랜섬웨어의 디자이너는 피해자의 이메일 편지함으로 랜섬웨어 실행 파일을 전송하기 위해 스팸 이메일을 활용합니다. 구체적으로 말해서 Aviso 크립토 멀웨어 해커는 목표 사용자가 첨부 된 악성 파일을 실행하도록 만듭니다. 피해자는 Endesa S.A.(스페인에서 가장 큰 전기 회사)의 이메일을 받게 됩니다. 그러나, 이 이메일은 거의 스팸 폴더로 분류되며, 드물게 받은 편지함 폴더에서 나타납니다. 사실, 받은 편지함 폴더에서 나타날 확률은 거의 없습니다. 이러한 스팸 이메일은 Endesa S.A. 회사의 청구서로 가장한 ZIP 파일 ENDESA_FACTURA.zip을 포함합니다. 의심이 없는 사용자께서 이러한 이 파일을 열게되면, 이 랜섬웨어가 시스템에서 실행되게 됩니다.

Aviso 랜섬웨어의 기능

Aviso 크립토-멀웨어는 개인 AES 및 공용 RSA 키의 조합을 포함하는 데이터 파일을 암호화하기 위해 비대칭 암호화 알고리즘을 이용하도록 만들어졌습니다. 이 암호화 바이러스는 네트워크에서 공유된 데이터 컨테이너와 관계 없이 로컬 드라이브에 저장된 파일을 암호화합니다. Aviso 암호화기가 쉽게 암호화 할 수 있는 파일은 다음과 같습니다:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, .zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2

위의 확장명을 가진 파일에는 접두사 Lock이 추가됩니다. 예를 들어, Song.mp3 파일은 암호화 이후 Lock.Song.mp3으로 이름이 변경됩니다. 첫 번째로 피해자에게 전송되는 대가에 대한 알림은 스페인어로 작성되어 있었습니다. 그러나, 나중에는 Aviso 코더가 영어, 포르투갈어, 이탈리아어 및 체코어로 메세지가 전송되었다고 보고되었습니다. 포르투갈어 대가 메시지는 다음과 같습니다:

Olá Sr(a), TODOS os seus arqurvos foram BLOQUEADOS e esse bloqueio somente ser á DESBLOQUEAdo caso pague o valor de RS 2000.00 (Dois Mil Reais) em Bitcoons Após o pagamento desse valor, basta me enviar um pnnt para o email_ infomacaonh@gmail.com que estarei lhe enviando o programa com a senha para descryptografar/desbloquear o seus arquivos. Caso o pagamento nao seja efetuado, todos os seus dados serao bloqueados permanentemente e o seu computador será totalmente formatado (Perdendo assim, todas as informa ções s contidas nele, incluindo senhas de email, bancarias…) O pagamento deverá ser efetuado nesse endereco de Bitcoin

[34 random characters]

메시지 마지막의 무작위 34 글자는 지불 ID를 나타냅니다. Aviso 코더는 624 USD에 해당하는 2000 Reals를 비트코인으로 지불할 것을 요구합니다. 제공되는 연락처 이메일은 infomacaonh@gmail.com입니다. 그러나, 이러한 사이버 범죄자에게 연락하는 것은 절대로 추천하지 않습니다.

잃어버린 데이터를 복원하고 영향을 받은 컴퓨터를 수정하는 방법

이 랜섬웨어가 여전히 컴퓨터 시스템에서 실행되는 경우 위의 확장명을 가진 새로운 파일이 암호화 될 수 있으므로, 먼저 랜섬웨어를 제거하셔야 합니다. PC에 연결하는 이동식 드라이브도 감염 될 수 있습니다. 따라서, 손상된 데이터를 복사하고 랜섬웨어를 제거하셔야 합니다. Reimage, Spyhunter 또는 Stopzilla 등과 같은 멀웨어 제거 소프트웨어는 후자의 목적을 위해 사용 될 수 있습니다. 이 암호화 트로이 목마가 차단하면 기기를 안전 모드로 시작하시면 됩니다. 그리고 항상 수동 제거 방법을 이용하실 수도 있습니다. 그러나, 랜섬웨어의 수동 제거 과정에서 실수를 하시는 경우 애드웨어와 같은 일부 통상적인 멀웨어의 제거보다 훨씬 더 위험 할 수 있습니다.

현재 Aviso 파일 암호화 바이러스에 의해 암호화된 파일의 암호는 해독 될 수 없습니다. 셰도우 볼륨 복사본, USB 플래시 드라이버 등 오직 백업 데이터 형태의 추가 복사본을 이용하실 수 있습니다. 데이터를 백업하시지 않은 경우, R-Studio 같은 데이터 복원 소프트웨어나 Kaspersky, Recuva, PhotoRec 등의 소프트웨어를 적용하실 수 있습니다. 이들은 데이터 복원을 100% 보장하지는 않지만, 매우 유용할 수 있습니다. 사이버 보안 연구가의 암호 해독기를 기다리실 여유가 있으시다면, 기다리시는 것이 좋습니다.



제어판을 사용하여 Aviso Ransomware 바이러스 삭제하는 방법

 
 
참고: Reimage 체험판은 Aviso Ransomware와 같은 패러사이트를 감지하고 그 제거를 무료로 지원합니다.감지된 파일, 프로세스 및 레지스트리 항목을 직접 제거하시거나 유료 버전을 구입하시기 바랍니다.  당사는 이러한 프로그램 일부와 제휴 관계에 있을 수 있습니다. 전체 정보는 공시를 참조하시기 바랍니다.

시스템 복원을 이용한 Aviso Ransomware 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● Aviso Ransomware 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. Aviso Ransomware 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 Aviso Ransomware 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 Aviso Ransomware 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 Aviso Ransomware는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.
       
 
 
11월 4, 2016 16:19, 11월 4, 2016 16:19
 
   
 

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.