Esmeralda Ransomware - 제거하는 방법

Esmeralda 랜섬웨어는 2016 년 10 월 28 일에 발견된 가장 최신 랜섬웨어 바이러스 중 하나입니다. 이 랜섬웨어는 Emsisoft의 조사관을 포함한 사이버 보안 연구가들에 의해 새로운 버전의 Apocalypse 랜섬웨어로 밝혀졌습니다. Esmeralda 크립토-랜섬웨어는 안티바이러스 도구에 의해 다음과 같은 이름 하에 감지되었습니다: FileCryptor.NAT, Gen:Win32.Malware.aqW@aKCOPKj, Mal/FakeAV-CS, Ransom_ESMERALDA.A, TR/Samca.olqkw, Trj/GdSda.A, Troj.W32.Fsysna!c, Trojan.Win32.Fsysna.eabk, W32/Fsysna.CS!tr, W32/Trojan.BYDE-4649, Win32.Trojan.WisdomEyes.16070401.9500.996. 본문을 끝까지 읽어주세요. 언젠가 도움이 될 것입니다.

Esmeralda 랜섬웨어에 대한 간략한 분석

Esmeralda 크립토 락커는 표준 비대칭 암호화를 사용하여 피해자의 데이터 파일을 손상 시키도록 개발되었습니다. DOC, DOCX, XLS, XLSX, JPG, PPT 파일 등과 같은 암호화 파일에 확장명 .encrypted이 추가됩니다. extension. 예를 들어, My_photo.jpeg는 암호화 후에 My_photo.jpeg로 이름이 바뀝니다. 파일이 암호화되면, 사용자께서는 해당 파일을 여실 수 없습니다. 실제로, 이러한 데이터 컨테이너는 완전히 쓸모 없게 만들어졌습니다.

암호화 후 Esmeralda 크립토 멀웨어에 의한 루틴이 성공적으로 수행됩니다. How_to_Decrypt.txt라고 불리는 파일의 대가에 대한 알림이 피해를 입은 파일의 모든 손상된 파일에 나타납니다. 메모장 파일에 포함된 다음과 같은 대가에 대한 메세지가 피해자의 바탕 화면에 이전 배경 화면을 대체하여 나타납니다:

Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenience.

You need to contact the email below to restore the data of your system.

Email: [email protected]

You will have to order the Unlock-Password and the Esmeralda Decryption Software. All the instructions will be sent to you by email.

알림의 첫 번째 단어에서 볼 수 있듯이, 이 메시지는 자체적으로 시스템 보안 알림으로 소개되지만, 계속 읽어보시면 이 프로그램이 랜섬웨어이며 크립토 해커가 그 배후에 있음이 분명해집니다. 이 메시지는 사용자가 러시아 이메일 서비스 공급 업체를 가리키는 [email protected]에 이메일로 연락할 것을 원하므로, Esmeralda 파일 암호화 바이러스의 코더가 러시아 출신이라는 추측을 하실 수 있습니다.

한편, 피해자가 사이버 범죄자들에게 연락하지 않는다면 대가 금액과 지불 절차에 관한 세부정보만 공개됩니다. 이 악성 프로그램의 개발자들은 완전한 의미의 범죄자이기 때문에, 저희는 여러분께서 그들과 연락하시지 않기를 바랍니다.

Esmeralda 랜섬웨어가 컴퓨터 시스템에 침입하는 방법

모든 랜섬 바이러스와 같이, Esmeralda 랜섬웨어는 크립토-멀웨어일뿐만 아니라, 시스템에 침입하여 사기로 손상을 일으키는 트로이목마이기도 합니다. 사기에는 스팸 이메일 공격, 위장 다운로드, 해킹된 웹 사이트 등이 포함됩니다. 따라서, 사용자께서 PC에 랜섬웨어의 페이로드를 다운로드 받지 않으시려면, 컴퓨터 시스템에서 라이센스가 부여된 안티-멀웨어 도구(예. Reimage)를 실행하는 등 일반적인 사이버 안전 규칙을 준수하셔야 하며, 이러한 안티-멀웨어 도구는 정기적으로 업데이트되어야 합니다. 또한, 이메일 우편함의 스팸 폴더는 우회할 수 없는 금지 영역이어야 합니다. 그리고 사용자께서는 무료 다운로드에 보다 주의를 기울이셔야 하며 기본 설치를 피하시고 인스톨러를 철저히 검사하셔야 합니다.

파일의 암호를 해독하고 감염을 제거하는 방법

보안 분석가의 암호 해독기는 여전히 미래의 일입니다. 따라서, 현재 파일을 해독할 수는 없습니다. 백업된 사본을 이용하시거나 복원을 시도하실 수 있습니다. 백업 사본을 이용하시는 경우, 감염이 발생하기 전에 사용되었던 USB 플래시 드라이브 또는 기타 이동식 드라이브를 활용하세요. 불행히도, 셰도우 볼륨 복사본은 삭제되었기 때문에 사용하실 수 없습니다. 복원을 시도하시는 경우, Recuva 같은 전문 도구, Kaspersky Lab의 복원 도구 등을 사용하시기 바랍니다.

사실 이 단락을 위의 단락보다 먼저 읽으셔야 합니다. 데이터 복원 작업 구현 전 Esmeralda 맬웨어가 제거되어야 하기 때문입니다. 그 이유는 꽤 명확합니다 – 시스템이 활성 상태로 유지되면 바이러스가 더 암호화될 수 있기 때문입니다. 트로이목마를 제거하시려면, Reimage, Spyhunter 또는 Stopzilla로 전체 시스템 검사를 실행하세요. 이러한 안티-스파이웨어 도구의 효과는 나열된 순서와 일치합니다. 수동 제거에 대한 설명을 하단에서 참고하세요. 여러분께서 랜섬웨어 공격을 다루셔야 하기 때문에 수동 제거를 성공적으로 구현하기가 어려울 수 있음을 알려드립니다.

시스템 복원을 이용한 Esmeralda Ransomware 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● Esmeralda Ransomware 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. Esmeralda Ransomware 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 Esmeralda Ransomware 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 Esmeralda Ransomware 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 Esmeralda Ransomware는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.