R980 Ransomware - 제거하는 방법?

 

R980 랜섬웨어는 가장 최신 파일암호화 바이러스 중 하나입니다. 이러한 사이버 위협 요소의 광범위한 분석은 미래에나 수행 될 것입니다. 이번에는 이 랜섬웨어 바이러스에 대해 이미 알려진 사실을 소개하는 데 최선을 다할 것입니다.

R980 랜섬웨어 소개

일부 소스가 암호화 과정을 수행하지 않는다고 명시됨에 따라, 현재 R980 바이러스를 크립토멀웨어라고 불러야 할지에 대해 논의 중에 있습니다. 그러나, 이 랜섬웨어가 이 목적을 위해 데이터를 암호화하고 현재 통용된 정교한 랜섬웨어(. Jager 랜섬웨어 등)의 대부분에 의해 비대칭 암호화 알고리즘이 사용된다는 주장이 더 많습니다. 이 랜섬웨어의 대가 메세지는 데이터가 AES-256 RSA-4096 암호로 암호화되었음을 알립니다. 이는 암호화 과정에서 두 개의 키가 생성됨을 의미합니다. 하나의 키는 공개적이며 암호화를 위해 사용됩니다. 또 다른 키는 비공개적이며 암호 해독을 위해 사용됩니다. 비공개 키는 사이버 범죄자가 통제하는 원격 서버에 보관됩니다. 이 키는 유료로 구입하도록 제안됩니다. 대가 메세지는 다음과 같습니다:

!!!! 주의 !!!! 귀하의 파일이 암호화되었습니다!!!!!

귀하의 모든 문서, 사진, 데이터베이스 및 기타 중요 파일이 AES-256 RSA-4096으로 암호화되었습니다. 저희에 서버에 저장된 비공개 키 없이는 귀하의 파일을 복구 할 수 없습니다. 안티바이러스는 귀하의 파일을 복구 할 수 없습니다.

hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

파일 복구 방법

: 귀하의 파일의 암호를 해독하시려면 0.5 비트코인을 지불하셔야합니다.

결제 방법

    1. 먼저, 비트코인을 구입하셔야합니다. 다음과 같은 사이트에서 비트코인을 쉽게 구입하실 수 있습니다 (이미 비트코인을 가지고 계시는 경우 이 단계를 건너뛰실 수 있습니다).

https://www.coinbase.com/

https://coincafe.com/

https://bitquick.co/

    1. 0.5 비트코인을 다음의 비트코인 주소로 전송하세요정확히 위의 금액을 전송하실 필요는 없습니다. 해당 금액은 저희의 시스템이 결제를 승인 할 수 있는 최소 금액으로 최소 금액 이상을 보내시면 됩니다.

비트코인 주소: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr

  1. 위의 비트코인 주소로 지불하신 후 귀하의 파일을 복구 할 수 있는 암호 해독 링크를 전송 받게 됩니다.

이는 귀하를 위해 생성된 공개 이메일 계정으로 전송됩니다:

https://www.mailinator.com/inbox2.jsp?public_to=8569402d-3a74-4f27-91ba-d6408e0ff8fe

암호 해독 키를 24 시간 내에 받아보실 수 있습니다.

!!!! ATTENTION !!!! YOUR FILES HAVE BEEN ENCRYPTED!!!!!

ALL of your documents, photos, databases and other important files have been encrypted with AES-256 and RSA-4096.You will not be able to recover your files without the private key which has been saved on our server.An antivirus can not recover your files.

hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

HOW TO GET YOUR FILES BACK

: To decrypt your files you have to pay .5 Bitcoins (BTC).

How to make payment?

  1. Firstly, you have to buy Bitcoins (BTC). You can buy Bitcoins easily at the following site (you can skip this step if you already have Bitcoins).

https://www.coinbase.com/

https://coincafe.com/

https://bitquick.co/

  1. Send .5 BTC to the following Bitcoin address – You don’t have to send the exact amount above. You have to send at least this amount for our systems to confirm payment.

BITCOIN ADDRESS: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr

  1. Once you have paid to the above Bitcoin address we will give you a link to a decrypter that will fix your files.

It will be sent to a public email account we have created for you:

https://www.mailinator.com/inbox2.jsp?public_to=8569402d-3a74-4f27-91ba-d6408e0ff8fe

Please wait up to 24 hours for your decrypter to arrive.

이는 ‘‘DECRYPTION_INSTRUCTIONS’’라고 불립니다. 보시는 바와 같이, R980 파일암호화 바이러스의 해커는 본문 작성 시 327.69 USD에 해당하는 0.5 비트코인을 요구합니다. 이 금액은 사이버 사기꾼들의 신분이 감춰진 채로 유지되도록 반드시 암호화 통화(. 비트코인)로 결제되어야합니다. 그들은 암호 해독 키가 결제 후 24 시간 내에 전송 될 것이라고 합니다. R980 크립토 멀웨어가 대상으로 하는 정확한 파일 타입은 밝혀지지 않았습니다. 그러나 랜섬웨어가 넓은 범위의 데이터에 피해를 입힐 수 있는 것으로 보아 저희는 사실상 모든 파일 형식이 손상 될 수 있다고 생각합니다.

R980 랜섬웨어의 배포 방법

R980 랜섬웨어는 이러한 종류의 바이러스 위협 요소가 사용하는 진부한 확산 방법을 이용하기 때문에 트로이목마 바이러스의 카테고리에 할당됩니다. 이는 희생양에게 스팸 이메일을 전송하는 스팸 이메일 캠페인입니다. 명백하게, 이러한 이메일은 이메일에 연결 된 링크 또는 첨부 파일을 통해서 감염을 일으킵니다. 따라서, 일반적으로 스팸 이메일이 제공하는 모든 링크 및 첨부 파일을 열지 않는 것이 좋습니다. 이러한 링크 및 첨부 파일은 유혹적이고 호기심을 자극하겠지만, 절대로 이들의 위장에 압도되지 마시기 바랍니다. 또한 R980 크립토멀웨어는 귀하께서 파일 공유 사이트와 같은 의심스러운 사이트를 방문할 때 익스플로잇 키트에 의해 귀하의 컴퓨터에 침입 할 수 있습니다. 익스플로잇 키트(. Angler, Nuclear, Blackhole )는 이러한 종류의 도메인에서 실행되며, 귀하의 컴퓨터의 소프트웨어에서 특정 취약점을 감지할 때 귀하의 PC에 랜섬웨어를 설치합니다.

R980 랜섬웨어에 의해 암호화된 파일의 암호 해독 방법

현재, R980 암호화기가 암호화 한 파일의 암호 해독을 위해 보안 전문가가 개발한 암호 해독 도구를 제공 할 수 있는 사람은 아무도 없습니다. 해커가 제공하는 암호 해독 키를 구입하는 것은 고려되는 해결책이 아닙니다. 백업을 사용하시고 셰도우 볼륨 복사본을 확인하시기 바랍니다. 데이터 복구를 위해 이용 가능한 모든 옵션을 사용 할 수 있다면, 전문적인 데이터 복원 도구를 적용하세요. 이러한 도구에는 Kaspersky Lab, Recuva, R-Studio, PhotoRec 등에 의한 소프트웨어가 포함됩니다. 그 전에 감염된 드라이브의 그림을 그리세요. 그리고 마지막으로 가장 중요한 작업을 수행하세요Reimage, SpyHunter 또는 Hitman 같은 자동 멀웨어 제거 도구를 따라 멀웨어를 제거하세요. 이러한 도구는 R980 암호화기의 삭제 과정을 훨씬 쉽게 만들어 줍니다. 수동 제거 설명서는 본문의 끝에 위치합니다.



제어판을 사용하여 R980 Ransomware 바이러스 삭제하는 방법

 
 
참고: Reimage 체험판은 R980 Ransomware와 같은 패러사이트를 감지하고 그 제거를 무료로 지원합니다.감지된 파일, 프로세스 및 레지스트리 항목을 직접 제거하시거나 유료 버전을 구입하시기 바랍니다.  당사는 이러한 프로그램 일부와 제휴 관계에 있을 수 있습니다. 전체 정보는 공시를 참조하시기 바랍니다.

시스템 복원을 이용한 R980 Ransomware 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● R980 ransomware 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. R980 ransomware virus 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 R980 virus 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 R980 cryptomalware 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 R980 crypto-malware는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.
       
 
 
8월 23, 2016 16:34, 8월 23, 2016 16:34
 
   
 

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.