Dharma Ransomware - 제거하는 방법

Dharma 랜섬웨어는 이틀 전인 2016 년 11 월 16 일에 워크스테이션을 감염시키는 것으로 보고되었습니다. 그리고 이 랜섬웨어는 단일 컴퓨터뿐만 아니라 네트워크 컴퓨터도 감염시키는 것으로 보고되었습니다. 흥미로운 점은, 이 바이러스가 때때로 일부 네트워크 컴퓨터를 손상시키지 않는다는 점입니다. 이 외에도, 이 퀴어 랜섬웨어는 피해자에게 무슨 일이 있었는지 그리고 무엇을 해야하는지를 알려주는 중요한 메세지를 남기지 않을 수도 있습니다. Dharma 크립토-락커는 파일의 푸터에 있는 16 진수 패턴에 따라 CrySiS 랜섬웨어의 새로운 변종으로 여겨지고 있습니다.

Dharma 랜섬웨어와 관련된 몇 가지 기술

Dharma라고 불리는 이 새로운 파일-암호화와 관련하여 여전히 많은 질문이 있습니다. 데이터를 암호화하기 위해 사용하는 패턴은 오직 C 드라이브만을 목표로 합니다. 이 새로운 암호화 멀웨어는 지정 연락처 이메일에 따라 암호화 된 각각의 파일명에 .[[email protected]].dharma 또는 .[[email protected]].dharma 확장명을 추가합니다. 첫 번째의 경우 기존의 Document.doc에 Document.[[email protected]].dharma라는 이름이 주어지며, 두 번째의 경우 암호화 된 Document.doc 파일의 이름이 Document.[[email protected]].dharma가 됩니다. 확실한 목표 데이터 파일 목록은 아직 밝혀지지 않습니다.

흥미롭게도, Dharma 데이터 표적 바이러스는 피해자의 데스크탑 배경을 대가에 대한 메모를 포함하는 배경으로 대체하지 않습니다. 그러나 이 랜섬웨어 바이러스의 일부 버전은 사실 시작 폴더에 있는 README.txt 파일에 대가에 대한 메모를 포함하고 있습니다. 대가에 대한 메모는 다음과 같습니다:

ATTENTION!

At the moment, your system is not protected.

We can fix it and restore files.

To restore the system write to this address:

[email protected]

감염된 PC를 재부팅할 때마다, Dharma 크립토 바이러스는 C 디스크에 저장된 새 파일을 모두 암호화합니다. opFirlma라는 폴더에 있는 Skanda.exe, plink.exe 및 worm.exe는 멀웨어의 페이로드가 포함되어 있음을 감지하는 실행 파일의 이름입니다.

Dharma 랜섬웨어가 급속하게 확장되는 방법

Dharma 파일 락커가 PC를 감염시키는 구체적인 방법은 아직 밝혀지지 않았습니다. 따라서, 이 크립토 바이러스는 보통의 랜섬웨어 바이러스가 확산되는 방식으로 확산될 것으로 간주됩니다. 이 방식은 세금, 벌금, 소포 등에 관한 중요한 정보를 포함하고 있는 것처럼 보이는 감염 스팸 이메일을 전송하는 방식을 의미합니다. 여기에는 심지어 일부 공식 기관 및/또는 회사의 특정 마크가 포함될 수도 있습니다. 이 외에도, Dharma 암호화 바이러스는 일부 무료 다운로드, DLL (Dynamic Link Library) 하이잭킹, 익스플로잇 공격 등을 통해 피해자의 컴퓨터에 설치될 수 있습니다.

추천 Dharma 랜섬웨어 제거 방법

Dharma 트로이목마는 전문 도구로 제거하는 것이 좋습니다. 저희는 안티바이러스 프로그램을 염두에 두고 있습니다. 저희는 Reimage, Spyhunter 또는 Malwarebytes 같은 애플리케이션을 실행하여 이 랜섬웨어를 제거하고 컴퓨터 시스템 전체를 정리할 것을 추천합니다. 또한, 본문의 끝에서 PC에서 Dharma 랜섬웨어 트로이목마를 제거하는데 도움이 되는 수동 제거 지침을 확인하실 수 있습니다.

추천 데이터 복구 방법

CrySiS 용 카스퍼스키 암호 해독기인 RakhniDecrypter는 Dharma의 경우 작동하지 않습니다. 심지어 확장 프로그램을 Dharma의 확장 프로그램으로 변경한 경우에도, 지원되지 않는 파일 형식을 나타내는 오류가 표시됩니다. 따라서, 손상된 파일을 검색하기 위해 다음과 같은 옵션이 남아있습니다. 감염된 C 드라이브의 이미징과 랜섬웨어의 제거 후, 백업을 사용하거나 ShadowExplorer를 실행하여 섀도우 복사본이 삭제되었는지 여부를 확인하세요. 두 가지 백업 옵션이 모두 적합하지 않은 경우, Recuva 같은 데이터 복구 소프트웨어, Kaspersky Lab의 데이터 복원 소프트웨어 등을 사용하시기 바랍니다.

시스템 복원을 이용한 Dharma Ransomware 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● Dharma Ransomware 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. Dharma Ransomware 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 Dharma Ransomware 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 Dharma Ransomware 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 Dharma Ransomware는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.