PayDay Ransomware - 제거하는 방법?

-
 0
타입: 랜섬웨어
 

PayDay 랜섬웨어의 소스 코드는 github.com에서 이용 가능한 오픈-소스 랜섬웨어 프로젝트 Hidden Tear를 기반으로 합니다. 한편 PayDay 랜섬웨어의 이름은 Overkill 소프트웨어가 개발한 비디오 게임의 이름인 Payday: The Heist와 연관이 있습니다. 이 게임의 줄거리는 다양한 무장 강도를 처치하기 위해 함께 행동하는 4 명의 강도 그룹을 중심으로 돌아갑니다. 이 게임의 테마는 이 랜섬웨어의 컨셉에 완벽하게 맞아 떨어집니다.

PayDay 랜섬웨어 소개

PayDay 크립토-멀웨어는 AES-256 알고리즘을 이용하여 다음과 같은 파일 유형을 암호화하도록 설계되었습니다:

.raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .sav, .spv, .grle, .mlx, .sv5, .game, .slot, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .csv, .efx, .sdf, .vcf, .xml, .ses.

감염된 기기의 사용자께서는 암호화 된 파일에 .sexy 확장자가 추가 된 것을 확인하실 수 있습니다. 예를 들어, File.rawFile.raw.sexy로 이름이 변경됩니다. 암호화 후, PayDay 크립토-락커는 포르투갈어로 다음과 같은 대가에 대한 알림을 디스플레이합니다:

Seus arquivos foram Sequestrados!

TODOS os seus documentos, banco de dados, downloads, fotos e outros arquivos importantes foram criptografados utilizando o algoritmo AES (mesma criptografia utilizada pelo governo do EUA) com uma senha alfa-numérica de 150 caracteres gerada a partir deste computador e enviada para um servidor secreto na Internet onde somente eu tenho acesso.

O que fazer?

Para obter essa senha e descriptografar seus arquivos, você terá que pagar uma quantia de R$950,00 em BTC (BITCOIN). Para efetuar o pagamento e obter a senha, siga este pequeno manual:

  1. Crie uma carteira BTC aqui: ***blockchain.info/***
  2. Compre R$950,00 BTC com dinheiro em: ***
  3. Envie os BTCs comprados para o endereço: *****
  4. Acompanhe a transferência em: ***blockchain.info/address/***
  5. Após o pagamento ser confirmado, envie-me um email requisitando a Senha: CATSEXY@PROTONMAIL.COM
  6. Logo após, enviarei um arquivo compactado contento dois arquivos: um Decrypter em .exe e a Senha em um .txt

O que é Bitcoin:

Importante:

  1. Ninguém pode te ajudar, a não ser eu!
  2. Vocé tem apenas 120 Horas (5 dias) para efetuar o pagamento, caso o contrario eu deletarei a senha.
  3. É inútil instalar/atualizar o software Anti Vírus, formatar o computador, fazer BO na delegacia, etc.
  4. Seus arquivos só poderão ser descriptografados depois do pagamento.
  5. Após vocé descriptografar seus arquivos, formate seu computador, instale um bom Anti Vírus e tome mais cuidado onde clica ?

영어로 번역하면 다음과 같습니다:

Your files have been hijacked!

ALL of your documents, database, downloads, photos, and other important files were encrypted using the AES algorithm (same encryption used by the US government) with a 150 character alpha-numeric password generated from this computer and sent to a server Secret on the Internet where only I have access.

What to do?

To get this password and decrypt your files, you will have to pay an amount of $ 950.00 in BTC (BITCOIN). To make the payment and obtain the password, follow this small manual:

  1. Create a BTC portfolio here: *** blockchain.info/***
  2. Buy R $ 950,00 BTC with money in: ***
  3. Send the purchased BTCs to the address: *****
  4. Follow the transfer on: *** blockchain.info/address/***
  5. After payment is confirmed, send me an email requesting the Password: CATSEXY@PROTONMAIL.COM
  6. Soon after, I will send a compressed file containing two files: a decrypter in .exe and the Password in a .txt

What is Bitcoin:

Important:

  1. No one can help you but me!
  2. You only have 120 Hours (5 days) to make the payment, otherwise I will delete the password.
  3. It is useless to install / update the AntiVirus software, format the computer, do BO in the police station, etc.
  4. Your files can only be decrypted after payment.
  5. After you decrypt your files, format your computer, install a good AntiVirus and be more careful where you click;)

한국어로 번역하면 다음과 같습니다:

귀하의 파일이 하이잭되었습니다!

귀하의 모든 문서, 데이터베이스, 다운로드 프로그램, 사진 및 기타 중요 파일이 이 컴퓨터에서 생성된 150 자리의 영숫자 비밀번호와 AES 알고리즘(US 정부가 사용하는 암호화와 같은 암호화)을 사용하여 암호화되었으며, 오직 저만이 액세스 할 수 있는 인터넷의 서버 비밀 서버로 전송되었습니다.

이제 무엇을 해야할까요?

이 비밀번호를 얻어 파일의 암호를 해독하시려면, $ 950.00 상당의 비트코인을 지불하셔야 합니다. 결제를 하시고 비밀번호를 얻으실려면, 다음과 같은 간단한 절차를 따르시기 바랍니다:

  1. 다음에서 비트코인 포트폴리오를 생성하세요: *** blockchain.info/***
  2. 다음에서 R $ 950,00 상당의 비트코인을 구입하세요: ***
  3. 구입한 비트코인을 다음 주소로 전송하세요: *****
  4. 다음에서 이체를 실행하세요: *** blockchain.info/address/***
  5. 결제가 확인되면, 다음 주소로 비밀번호를 요청하는 이메일을 보내주세요: CATSEXY@PROTONMAIL.COM
  6. 곧, 다음과 같은 두 개의 파일이 포함 된 압축 파일이 전송될 것입니다: .exe 형식의 암호 해독기 그리고 .txt 형식의 비밀번호

비트코인이란:

중요:

  1. 저 외에 귀하를 도와줄 수 있는 사람은 아무도 없습니다!
  2. 120 시간 (5 일) 내에 결제하지 않으시면, 비밀번호가 삭제됩니다.
  3. 안티바이러스 소프트웨어를 설치 / 업데이트하시거나, 컴퓨터를 포맷하시거나, 경찰서에 신고하셔도 소용이 없습니다.
  4. 오직 결제 후에만 파일의 암호를 해독하실 수 있습니다.
  5. 파일의 암호가 해독되면, 좋은 안티바이러스 소프트웨어를 설치하시고 클릭하실 때 좀 더 주의하시기 바랍니다 😉

따라서, PayDay 크립토-바이러스가 포르투갈어를 사용하는 사용자를 목표로 한다고 가정할 수 있습니다. HTML 파일로 바탕 화면에 추가 된 대가에 대한 알림은 Payday: The Heist 게임의 이미지를 포함하며 다음 사이트로 리디렉션을 일으킵니다:

대가에 대한 알림에 !!!!!ATENÇÃO!!!!!라는 이름이 주어졌는데, 이를 영어로 번역하면 !!!!!ATTENTION!!!!!, 한국어로 번역하면 !!!!!주의!!!!!입니다. PayDay 파일-암호화기 해커는 R$950 (브라질 헤알) 상당의 비트코인을 1HGYr8g4Jv9EH6qgvEPFFFN9LYMkivFP7L 비트코인 주소로 보내길 원합니다. R$950284.82 USD와 동등한 가치를 가집니다. 이는 대가에 대한 알림을 적은 언어와 함께 PayDay 파일-암호화기 코더의 출신을 알려줍니다. 결제할 수 있는 기간으로 5 일이 주어집니다. 지불 요구 사항을 해결하기 위해 주어진 연락처 이메일은 catsexy@protonmail.com입니다.

PayDay 랜섬웨어의 배포 방법

PayDay는 트로이목마 랜섬웨어입니다. 이 프로그램이 대가에 대한 알림 마지막에서 힌트를 준 것처럼, 사용자께서는 반드시 자신이 클릭하는 부분과 내용에 좀 더 주의하셔야 합니다. PayDay 암호화 트로이목마는 특히 스팸 이메일 및 첨부 파일의 이름이 중요 문서처럼 표시되었을 때 이러한 스팸 이메일의 링크를 클릭하거나 그 첨부 파일을 여는 사용자의 PC를 감염시킵니다. 따라서, 사용자께서는 이메일 받은 편지함의 스팸 폴더를 멀리하시는 것이 좋습니다. PayDay 파일-락커는 대규모 스팸 이메일 캠페인에 의해 확산되는 랜섬웨어 바이러스 중 하나입니다.

PayDay 랜섬웨어 제거

PayDay 암호화 멀웨어Reimage, Spyhunter 또는 Malwarebytes로 전체 시스템 검사를 실행하여 제거하시는 것이 좋습니다. 이 랜섬웨어는 다른 멀웨어와 관련이 없다하더라도, PayDay 랜섬웨어가 감염된 시스템에 다른 멀웨어를 설치할 가능성이 있습니다. 따라서, 자동 제거가 추천됩니다. (향후 사이버 보안 전문가의 암호 해독기를 사용하기 위해) 미리 암호화된 파일의 복사본을 만드셔야 한다는 것을 기억하시기 바랍니다.

손상된 데이터의 암호 해독과 관련하여, 세 가지 옵션이 있습니다. 첫 번째 옵션은 백업입니다 – 이동식 드라이브, 클라우드 저장소 등 포함하여 로컬 (시스템) 저장소 이외의 모든 위치. 두 번째 옵션은 셰도우 볼륨 서비스로 알려진 로컬 저장소를 확인하는 것입니다. 세 번째 옵션은 Recuva 같은 데이터 복원 소프트웨어를 이용하여 잃어버린 데이터를 복원하는 것입니다.



제어판을 사용하여 PayDay Ransomware 바이러스 삭제하는 방법

 
 
참고: Reimage 체험판은 PayDay Ransomware와 같은 패러사이트를 감지하고 그 제거를 무료로 지원합니다.감지된 파일, 프로세스 및 레지스트리 항목을 직접 제거하시거나 유료 버전을 구입하시기 바랍니다.  당사는 이러한 프로그램 일부와 제휴 관계에 있을 수 있습니다. 전체 정보는 공시를 참조하시기 바랍니다.

시스템 복원을 이용한 PayDay Ransomware 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● PayDay Ransomware 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. PayDay Ransomware 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 PayDay Ransomware 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 PayDay Ransomware 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 PayDay Ransomware는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.
 

PayDay Ransomware 스크린 샷

 
     
 
 
1월 2, 2017 19:56, 1월 2, 2017 19:56
 
   
 

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.