Zepto ransomware - 제거하는 방법

Zepto 랜섬웨어는 2016 년 6 월 27 일에 출시 된 Locky 랜섬웨어의 새로운 버전입니다. 이전의 버전과 같이, 이 버전도 비대칭 (RSA-2048 및 AES-128) 암호화 알고리즘을 사용합니다. 그러나 이 새로운 변형은 몇 가지 특색을 가지고 있습니다.

Zepto 랜섬웨어 소개

Zepto 랜섬웨어는 자바스크립트로 쓰여졌습니다. 일단 사용자의 시스템에 침입하면, Windows는 wsscript.exe 모듈을 운영하고 스크립트를 실행합니다. 어떠한 코드 검증이나 보안 검사도 수행되지 않습니다. .js 실행 파일은 랜섬웨어의 페이로드를 다운로드하기 위해 명령&제어 서버에 연결합니다. 그리고 랜섬웨어의 페이로드가 다운로드 되면, 인코딩 바이러스가 컴퓨터 시스템을 검사하고 데이터를 암호화합니다. 다음과 같은 확장명을 가진 파일이 대상입니다:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

Zepto 크립토멀웨어는 암호화 된 파일명을 익명의 파일명으로 바꿉니다. 암호화 된 파일명의 예 – 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto. 피해 파일의 ID는024BCD3341D1ACD3 같이 파일명의 처음 16 글자입니다. 이 암호화 바이러스 파일의 유형을 변경하여, ZEPTO 파일이 됩니다. 이 인코더는 파일을 덮어쓰고 원본 버전을 삭제합니다. 대가에 대한 알림이 포함 된 _HELP_instructions.bmp 파일이 데스크탑 배경화면을 대체합니다. _HELP_instructions.html 파일은 모든 암호화 파일 및 피해 데스크탑에 배치됩니다. 알림의 내용은 다음과 같습니다:

!!! 중요 중요 !!!

귀하의 파일이 모두 RSA-2048 및 AES-128 암호로 암호화되었습니다.

RSA 및 AES에 대한 자세한 정보는 다음 링크에서 확인하실 수 있습니다:

[links to wikipedia]

귀하의 파일의 암호를 해독하는 유일한 방법은 저희의 비밀 서버에 있는 비밀 키 및 암호 해독 프로그램을 사용하는 것입니다.

비밀 키를 얻으시려면 다음 링크 중 하나를 따르세요:

[Tor Web links given]

위의 링크가 모두 이용 불가능한 경우, 다음 단계를 따르세요:

[the instructions on how to download and install Tor Browser are given]

!!! 귀하의 개인 식별 ID: A2E4B02F73265D55 !!!

!!! IMPORTANT INFORMATION !!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.

More information about the RSA and AES can be found here:

[links to wikipedia]

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.

To receive your private key follow one of the link

[Tor Web links given]

If all of this addresses are not available, follow these steps:

[the instructions on how to download and install Tor Browser are given]

!!! Your personal identification ID: A2E4B02F73265D55 !!!

이 알림에 공개되어 있지는 않지만, 대가 금액은 Locky 랜섬웨어의 대가 금액과 동일합니다 – 현재 319.86 USD에 해당하는 0.5 비트코인. 엄청나게 큰 금액은 아니지만, 여전히 잃어버리면 속상할 것입니다.

Zepto 랜섬웨어의 배포 방법

Zepto 바이러스는 트로이목마 바이러스로, .doc 또는 .pdf 파일처럼 보이는 감염된 .js 파일을 통해 확산되며, 이메일에 추가되어 피해자에게 전송됩니다. 이러한 이메일은 목표 사용자의 이메일 계정의 스팸 폴더로 분류되며, PayPal, FedEx, 세관 같은 지역 기관 등이 포함하여 합법적인 회사에서 발행된 중요 문서처럼 가장합니다. 이러한 첨부 파일을 열면, 모든 악성 파일이 방출됩니다.

Zepto 랜섬웨어에 의해 암호화 된 파일의 암호를 해독하는 방법

Zepto 랜섬웨어 바이러스는 Locky 랜섬웨어와 같이 암호 해독이 불가능합니다. 아마도, Locky 랜섬웨어에 대한 디크립터가 개발된다면, Zepto 랜섬웨어에도 사용할 수 있을 것입니다. 그러나, 현재 귀하의 데이터를 되찾는 유일한 해결책은 Kaspersky Lab, R-Studio, PhotoRec 등의 소프트웨어와 같은 데이터 복원 도구를 적용하는 것입니다. Locky와 비슷하게 이 인크립터는 셰도우 볼륨 복사본을 삭제합니다. 그래서 혹시 이용된다하더라도, 셰도우 볼륨 서비스는 쓸모가 없습니다. 혹시 파일의 복사본을 외장 저장 장치 또는 서비스에 저장해두신 경우, 파일을 되찾으실 수 있습니다. 그렇지 않으시다면, 데이터를 복원할 수 있는 유일한 해결책은 전문 도구를 이용하는 것입니다. 향후에 클라우드 서비스 또는 하드 드라이브를 이용하시는 것이 현명할 것입니다. 파일 복원 이외에도, 랜섬웨어를 제거하시는 것이 훨씬 더 중요합니다. Reimage, Spyhunter 또는 Hitman 자동 멀웨어 제거 도구를 이용하세요. 이러한 도구는 바이러스나 바이러스의 잔재가 남아있지는 않은지 컴퓨터 시스템을 검사합니다. Zepto 바이러스를 수동으로 제거하는 방법을 하단에서 참조하세요.

시스템 복원을 이용한 Zepto ransomware 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● Zepto virus 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. Zepto ransomware 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 Zepto virus 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 Zepto ransomware 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 Zepto virus는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.