CryptoLocker 랜섬웨어 복구 방법
How to recover from CryptoLocker Ransomware
이 복구 방법은 암호화된 파일을 복호화시키는게 아니라 CryptoLocker가 암호화 시키는 과정에서 삭제된 파일을 복구를 시키는 방법이며, 100% 완벽한 복구 방법이 아니다. 조사를 해보니 CryptoLocker는 먼저 파일을 복사하여 복사본을 만든다음에 그 복사본을 암호화하고, 원본 파일을 삭제하는 기법을 사용한다. 그렇기 때문에 CryptoLocker에 걸리고 나서 데이터 변화가 없다는 가정하에, 아래 복구 방법을 통해 파일을 복구시킬수있는 확률이 높아진다.
Following recovering methods are not decrypting infected files, but restore files that deleted by CryptoLocker while encryption. And this method may not be suitable for everyone or some cases. From the research, CryptoLocker will use the method that copy target files, encrypt target files and then delete original files. Therefore, you may have higher chance to restore your files back on the assumption that you haven’t changed your data after infection.
저는 보안전문가가 아니기 때문에 아래 과정을 단순히 참고만 하시기 바랍니다. 아래 과정은 복구 방법을 설명하는 많은 사이트들을 참고하여 나온 과정입니다.
As I am not a professional security advisor, please use following steps as just references. Below steps are from the research of many websites that explain how to recover.
복구 순서/Recovery steps
- 먼저 랜섬웨어에 걸린 컴퓨터의 인터넷을 차단하고 연결된 외장하드/USB를 뺀다. 이는 네트워크로 연결된 드라이브나 외장하드들까지 암호화되는것을 방지하기 위함이다.
Firstly, turn off internet on the infected computer and remove your portable hard drives or USB from the computer to prevent ransomware. - Malwarebytes사에서 공개한 Anti-Ransomware 프로그램을 설치한다.
Install Malwarebytes Anti-Ransomware application.- 해당 프로그램은 유명한 CryptoWall4, CryptoLocker, Tesla, and CTB-Locker과 같은 랜섬웨어들을 방어해준다.
This application will protect from popular ransomware such as CryptoWall4, CryptoLocker, Tesla, and CTB-Locker. - 다운로드(Download): https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/
- 해당 프로그램은 유명한 CryptoWall4, CryptoLocker, Tesla, and CTB-Locker과 같은 랜섬웨어들을 방어해준다.
- Malwarebytes사의 또 다른 프로그램인 Chameleon을 다운로드한 뒤, 압축을 푼다. Chameleon폴더안에 여러 실행 파일(firefox.exe, iexplorer.exe등)이 있는데 그중에 한개를 실행하면 콘솔창이 뜨는데 거기에 나오는 설명대로 하면, Malwarebytes Anti-Malware가 설치되고 악성코드를 찾아 삭제한다. 카멜레온에 대한 자세한 설명은 제작사 사이트를 참고하기 바란다.
Download Malwarebytes Chameleon and extract compressed file. In the Chameleon folder, you will see executable files such as firefox.exe or iexplorer.exe. Just run one of executable file, then you will see console screen with instructions. If you follow the instruction then it will download latest Malwarebytes Anti-Malware and scan your computer for malwares. You will be able to remove malwares with this method. If you want to know more information about Malwarebytes Chameleon, please go to their website.- 다운로드(Download): https://www.malwarebytes.org/chameleon/
- 사용법 (How-to video): https://www.youtube.com/watch?v=VsveHcBZwUk
- Anti-Malware는 기본적으로는 무료지만 실시간 감시 기능을 제공하는 유료버젼을 사용하는걸 추천한다. Basically Anti-Malware is free to use; however, I suggest to subscribe premium version which provides real-time scan.
이제 복구를 하기 위한 전초작업은 완료되었다. 실제 복구작업은 이제부터다.
Now we just finished prerequisite tasks. Actual recovery is starting now.
- Shadow Explorer
- Shadow Explorer는 윈도우의 내장된 기능인 Shadow Copy Volumn에서 특정 시간대의 파일/폴더의 복사본(스냅샷)을 남겨놓을 찾아 볼수있게 하는 프로그램이다. 운이 좋다면, 이 프로그램을 이용해 특정파일을 복구가 가능할수도 있다.
Shadow Explorer allows to browse folders/files in Shadow Volumn, which is the technology that included in the MS Windows. MS Windows do automatically or manually taking snapshot of files/folders on certain time. If you are lucky enough, then you may be able to recover documents using Shadow Explorer. - 하지만 이 방법은 도움이 되지 않았다. 폴더구조나 파일 이름은 알려주나, 파일 복구 시에 대부분의 파일이 깨져서 열리지가 않았다.
However, this method was not helpful. It tells you the folder structures or file name, but most of files were corrupted after recovered. - 다운로드(Download): http://www.shadowexplorer.com/
- 사용법 (How-to Video): https://www.youtube.com/watch?v=jsIDfyNg7KE&nohtml5=False
- Shadow Explorer는 윈도우의 내장된 기능인 Shadow Copy Volumn에서 특정 시간대의 파일/폴더의 복사본(스냅샷)을 남겨놓을 찾아 볼수있게 하는 프로그램이다. 운이 좋다면, 이 프로그램을 이용해 특정파일을 복구가 가능할수도 있다.
- (추천) 파일 복구 프로그램으로 삭제된 파일 복구
(Recommend) Restore deleted files with recovery tools- 위에서 설명했듯이, CrpytoLocker는 암호화 시킨후 원본을 삭제하기 때문에 원본이 아직 남아있을 수 있다. 그렇기 때문에 파일 복구 프로그램을 이용하여 복구가 가능할 수도 있다. 실제 이 방법으로 파일을 다수 복구하였다.
As explained above, CryptoLocker deletes original files after encrypting files. Therefore, deleted files may be able to recover by recover program. Using this method, I was able to recover many affected files. - Recuva <- 추천(Recommend)
- 다른 프로그램보다는 이 프로그램이 가장 사용하기 편하고 좋았다. 이 프로그램은 파일 복구 가능 여부와 간혹 파일 이름까지도 복구하였다.
Compare to other recovery applications, this one was best convenient and easy to use. This application tells you whether you can recover certain files or not and it often recovers filename as well. - 다운로드(Download): https://www.piriform.com/recuva
- 사용법 (How-to Video): https://www.youtube.com/watch?v=LeEICG0zWqY&nohtml5=False
- 다른 프로그램보다는 이 프로그램이 가장 사용하기 편하고 좋았다. 이 프로그램은 파일 복구 가능 여부와 간혹 파일 이름까지도 복구하였다.
- Disk Drill
- 다운로드(Download): http://www.cleverfiles.com/disk-drill-windows.html
- 사용법(How-to Video): https://www.youtube.com/watch?v=xkeGUTnctPk&nohtml5=False
- 위에서 설명했듯이, CrpytoLocker는 암호화 시킨후 원본을 삭제하기 때문에 원본이 아직 남아있을 수 있다. 그렇기 때문에 파일 복구 프로그램을 이용하여 복구가 가능할 수도 있다. 실제 이 방법으로 파일을 다수 복구하였다.
- 윈도우 복원/System Restore
- 어느 사이트에서 윈도우 복원이 도움이 된다고 하였으나, 실제 파일을 복구시키진 않았다.
Some forum suggested that system restore will help; however, it didn’t recover any files.
- 어느 사이트에서 윈도우 복원이 도움이 된다고 하였으나, 실제 파일을 복구시키진 않았다.
참고 사이트
- http://krebsonsecurity.com/2014/08/new-site-recovers-files-locked-by-cryptolocker-ransomware/
- http://www.bleepingcomputer.com/forums/t/506924/original-cryptolocker-ransomware-support-and-help-topic/page-26#entry3165383
- https://forums.malwarebytes.org/topic/134420-removal-instructions-for-cryptolocker/
- http://virusguides.com/decrypt-cryptlocker/
Windows
1. https://malwarebytes.box.com/s/ivtutyle35gm7lfuk0cjt2tut4r2in0v – 무료
2. https://www.malwarebytes.org/antimalware/ – 무료, 유료($35/년)
3. https://www.avast.com/en-au/index – 무료
Mac
1. https://www.malwarebytes.org/antimalware/mac/ – 무료
2. http://www.avira.com/en/free-antivirus-mac – 무료
백업 방법
1. Crashplan – 유료 ($5/달/개인) 온라인에 무제한 백업 가능.
2. Time Machine – 애플 내장 백업. 하드디스크만 사면됨