Bart Ransomware - 제거하는 방법?

 

Bart 랜섬웨어는 성공을 위해 항상 정교한 암호화 과정이 필요한 것은 아님을 보여주는, 매우 간단한 전략을 이용하는 혁신적인 바이러스입니다. 이 바이러스는 이전에 인식되거나 이용되지 않은 드문 특성을 가지고 있습니다. 압축용 DEFLATE 알고리즘은 일반적으로 암호화 키와 함께 인코딩되는 소중한 개인 파일을 모두 수집하기 위해 사용됩니다. Bart 랜섬웨어는 다릅니다: 이러한 데이터를 ZIP 아카이브 파일에 모두 저장하고 암호화합니다. 오직 정확한 비밀번호만이 이러한 파일에 대한 액세스를 부여합니다. 결국, 모든 랜섬웨어 바이러스는 한 부류입니다: 오직 돈이 목적입니다.

Bart 랜섬웨어 소개

Locky 랜섬웨어의 제작자가 이 사이버 공격에 대한 책임도 있는 것 같습니다. 러시아, 우크라이나 또는 벨라루스에 거주하시는 분께서는 Bart 바이러스를 걱정하지 않으셔도 됩니다: 사용자의 위치가 이러한 국가에 속하는 것으로 판별되면 감염 파일이 스스로 삭제되도록 프로그래밍됩니다. 그 밖의 국가에 거주하시는 분께서는 Bart 랜섬웨어의 타겟이 될 수 있습니다.

이 바이러스의 주요 흔적은 %Temp% 폴더에 눈길을 끌지 않는 실행 가능한 파일로 숨겨집니다. 다운로드 된 파일(RocketLoader 멀웨어)이 작동을 실행하면, Bart 랜섬웨어도 다운로드됩니다. 이 바이러스가 작동하게 되면, 파일 식별 기호 및 이름의 순서가 큰 역할을 합니다. tmp, winnt, Application Data, AppData, PerfLogs, Program Files (x86), Program Files, ProgramData, temp, Recovery, $Recycle.Bin, System Volume Information, Boot, Windows 같은 경로명을 가진 파일은 손상되지 않습니다.

그러나, 수백개의 파일이 파괴될 수 있습니다. 다음 목록은 잠재적으로 파괴될 수 있는 파일의 일부입니다: .n64, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .gz, .7z. 적절한 파일이 감지되면, 이들은 ZIP 아카이브 파일에 배치되고, 아카이브된 파일을 식별하는 확장명을 받게 됩니다: .bart. 그 다음, 선택 파일이 작동하지 않게 됩니다. 물론, Bart 랜섬웨어의 해커는 재빨리 도움을 제안합니다. 다음과 같은 알림이 데스크탑에 남겨집니다(recover.nmp 및 recover.txt 형식):

‘!!! 중요 중요 !!!

귀하의 파일이 모두 암호화되었습니다.

귀하의 파일의 암호를 해독하는 방법은 저희의 비밀 서버에 있는 비밀 키를 이용하는 것입니다.

비밀 키를 얻으시려면 다음 링크 중 하나를 따르세요:

[links to TOR-hosted pages]

위의 링크가 모두 이용 불가능한 경우, 다음 단계를 따르세요:

[instructions on how to install the TOR Browser and access the payment portal]

!!! 귀하의 개인 식별 ID: [128-bit long identifier] !!!’

‘!!! IMPORTANT INFORMATION !!!

All your files are encrypted.

Decrypting of your files is only possible with the private key, which is on our secret server.

To receive your private key follow one of the links:

[links to TOR-hosted pages]

If all addresses are not available, follow these steps:

[instructions on how to install the TOR Browser and access the payment portal]

!!! Your personal identification ID: [128-bit long identifier] !!!’

또한, 이러한 알림은 사용자의 설정에 따라 영어, 스페인어, 이탈리아어, 프랑스어 및 독일어로도 표시될 수 있습니다. Bart 랜섬웨어는 심지어 파일을 되찾기 위해 필요한 모든 정보를 포함한 Decryptor Bart Page를 생성합니다: 대가 금액, 비트코인 구입 방법 및 전송 할 주소. 그러나, Bart 바이러스가 복잡한 사기일지라도, 셰도우 볼륨 복사본에는 영향을 미치지 않을 수 있으며, 이는 파일의 복원에 대한 가능성을 조금 더 높여줍니다.

Bart 랜섬웨어에 의해 암호화 된 파일의 암호를 해독하는 방법

보안 연구자들은 Bart 랜섬웨어의 해독 방법을 아직 찾지 못했습니다. 이 랜섬웨어는 매우 숙련된 해커에 의해 만들어졌으며 엄청난 노력 없이 암호를 해독 할 수 있는 방법은 없습니다. 저희는 Bart 바이러스 에 감염 될 경우에 대비하여 파일을 백-업 저장소에 보관할 것을 추천 할 수 밖에 없습니다. 또한, 셰도우 볼륨 복사본은 그대로 남아있으므로, 사용자께서는 이들을 복원하실 수 있습니다. 저희는 “정말 중요한 파일을 되찾기 위해 대가를 지불하면 파일을 되찾을 수 있나요?”라는 질문을 종종 받습니다. 저희의 대답은 항상 똑같습니다: 해커들이 원하는 것을 모두 들어줄 필요는 없습니다. 특히 요구하는 대가가 3 비트코인처럼 클 때는 더 그렇습니다. 피해자들은 zip 파일 복원 도구를 사용할 수 있습니다. 이 도구는 복원 애플리케이션에 의해 생성 된 매우 긴 코드를 가진 파일을 복원 할 수도 있습니다. 그러나, 이 과정에 시간이 많이 걸릴 수 있습니다: 결국, 이는 쉽게 실행 할 수 없는 작업입니다.

Bart 랜섬웨어의 확산 방법

Bart 바이러스는 확장명 .zip을 포함한 “사진”이라는 제목의 이메일 첨부 파일을 통해 확산됩니다. 다운로드 된 파일은 자바스크립트를 포함하고 있습니다. 이 스크립트는 Bart 랜섬웨어를 다운로드하고 Bartalex 같은 트로이목마 다운로더로 이 랜섬웨어를 실행할 수 있습니다. 이 감염으로 고통 받고 계시는 경우, 제거를 위해 Spyhunter, ReimageHitman을 사용하시는 것이 제일 좋습니다. 이러한 안티멀웨어 도구는 귀하의 컴퓨터 시스템에서 이 랜섬웨어를 자동으로 제거하고 향후 감염에서 보호합니다.


제어판을 사용하여 Bart Ransomware 바이러스 삭제하는 방법

 

기타 도구

 
  0   0
    Spyhunter
  0   0
    Malwarebytes Anti-Malware
 
참고: Reimage 체험판은 Bart Ransomware와 같은 패러사이트를 감지하고 그 제거를 무료로 지원합니다.감지된 파일, 프로세스 및 레지스트리 항목을 직접 제거하시거나 유료 버전을 구입하시기 바랍니다.  당사는 이러한 프로그램 일부와 제휴 관계에 있을 수 있습니다. 전체 정보는 공시를 참조하시기 바랍니다.

시스템 복원을 이용한 Bart Ransomware 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● Bart virus 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. Bart Ransomware 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 Bart virus 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 Bart Ransomware 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 Bart virus는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.
           
7월 11, 2016 05:37, 7월 11, 2016 05:37

 

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.