랜섬웨어(ccc,vvv,xyz,abc,zzz) 복구방법 100% 복구 가능합니다.


수정 : Key (Hex)에 마스터키 가 공개되었다고 합니다.

440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE​

를 입력하면 됩니다.​


아래 내용들은 참고 하세요...


1. 첨부 파일의 TeslaDecoder을 압축해제한다

 

TeslaDecoder.z01

 

TeslaDecoder.z02

 

TeslaDecoder.z03

 

TeslaDecoder.zip


2. TeslaDecoder폴더내  TeslaViewer 실행한다
3. TeslaViewer > Browse... > 랜섬웨어 걸린 파일을 선택하여 열기 > Create work.txt 버튼을 누름


4. TeslaDecoder폴더안에 work.txt 파일이 생성되었다는 팝업이 발생
5. TeslaDecoder폴더안에 work.txt 텍스트 문서를 열어 dec 부분을 복사합니다.

 

6. TeslaDecoder > yafu > RunYafu.exe 파일을 실행한 후 Factoring Threads: 3입력후 Tune Yafu실행

7. Tune Yafu실행시 VCOMP100.DLL 이가 없어 프로그램을 시작할 수 없다는 팝업이 발생할수 있습니다. 첨부파일의 VCOMP100.DLL 파일을 yafu 폴더에 복사해 주세요.

 

vcomp100.dll


8. Tune Yafu실행하면 cmd 창이 나타나면서 무엇인가를 하는데요 자동으로 사라질때까지 기다려 주셔야 합니다.( 어떤 블로그에는 이 팝업에 대한 설명이 없어서 이게 잘 되고 있는것인가 의문이 들어 몇번이나 cmd창을 닫아 버렸어요.. )

9. 도스창이 사라 졌다면 yafo폴더에 factorX86.bat 또는 facotrX64.bat배치 파일을 실행하는데
32비트는 factorX86.bat 를 실행하고 64비트는 facotrX64.bat실행하여야 합니다. (관리자 권한으로 명령 프롬프트를 실행해야 됩니다)

 

 

10. 관리자 권한으로 명령 프롬프트를 실행합니다.
11. 도스창에 factorX86.bat 을 실행해야 되는데요 저의 경로는 D:\C\TeslaDecoder\yafu\factorX86입니다.

 

12. Enter DEC SharedSecret1*PrivateKeyBC: 에 work.txt 텍스트 문서에서 dec 부분을 복사한 부분을 붙여 넣고 엔터 하면됩니다. 이때 주의점으로는 복사한 숫자 앞뒤로 빈공간이나 중간에 빈공간이 있어서는 안됩니다.
이제 곧 끝나 갑니다. 

 

 

13. Amount of Threads:1 을 입력하고 엔터 (타 포스팅된 블로그에서는 시간이 무척 오래 걸린다고 했는데 그렇게 오래 걸리지 않았습니다. 1분 정도 걸립니다.)

 

14. 계속 하려면 아무 키나 누르십시오 란 문구가 나오면 끝났습니다.
15. ***factors found***   (  )  ans = 1 사이에 있는 문자를 복사를 해야 됩니다.

 
16. 도스창에서 마우스 오른쪽 버튼을 누루고 표시 저는 P1에서 부터 P10 까지 복사를 하면 됩니다.
쭉 드래그 한다음 엔터 그러면 복사가 됩니다.
17. TeslaDecoder폴더의 TeslaRefator.exe를 실행한 후 복사한 내용을 입력창에 붙여 넣습니다.

 

18. Public key(hex) 입력하여야 하는데요 work.txt 텍스트 문서에 PublicKeyBC 값을 입력하면 됩니다.

 

19. 자 이제 모든 작업이 끝났습니다. 비밀키값만 얻는 순간입니다. Find private key 버튼을 눌러 주세요

 

20. Private key(hex) 비밀키가 얻어 졌습니다. 너무 기쁘네요 이 순간이 제일 기뻐던거 같아요
제 비밀키는 1AD35B4EE004A538AF999583533B8DE38BBD656944EC9A07522F98ABAD148C99 입니다.
이 비밀키를 얻게 된다면 위 과장을 모두 하였으므로 너무나 쉬웠던 과정이라고 생각이 되길겁니다.
21. 이제 비밀키를 얻었다면 바이러스로 인해서 변경된 파일을 모두 복구 가능합니다.
TeslaDecoder폴더내 TeslaDecoder.exe 파일을 실행시킵니다.

 

22. Set key 버튼을 눌러 비밀키를 입력하고 EXtension 종류를 알맞게 골라 준후 Set key버튼을 눌러 주면됩니다.

 

 

 23.Decrypt Folder - 폴더를 하나식 지정해서
Decrypt All - 전체

예 버튼을 누루면 바이러스로 인해 변경된 파일이 삭제되고 복구된 파일만 남게 됩니다.

1 files decrypted 로 1개의 파일이 복구가 되었습니다.


음 제가 복구하면서 막히던 부분이 있었고 1월달에 나온 복구하는 포스팅에서는 막히는 부분이 있어서 포기를 했었는데요

이제는 예전에 나온 랜섬웨어ccc,vvv,xyz,abc,zzz 는 복구가 가능하기 때문에 안심해도 되겠습니다.

그렇지만 계속해서 변종 랜섬웨어가 나오고 있습니다. 바이러스에 걸리지 않게 조심해야 겠어요.

만약에 신종 변종 랜섬웨어가 걸려 사진, 동영상, 파일들이 변형이 된다면 일단은 바이러스를 치료후에 기다려 보는걸 추천해 봅니다.

추후에 변종 랜섬웨어도 위와 같이 복구가 가능할지도 모르니까요.

추후 변형된 파일들도 복구 방법이 나오게 되면 포스팅을 해보도록하겠습니다.

위 방법으로 잘 되지 않는 분들은 댓글 남겨 주세요..

posted by apuzima
  • 감사합니다 2016.05.24 14:56

    잘되네요 감사합니다!

  • 아롱이 2016.08.26 17:22

    13번에서 1 누르고 엔터치면 yafu-win32.exe 은 내부 또는 외부 명령, 실행할 수 있는 프로그램, 또는 배치 파일이 아닙니다. 계속하려면 아무 키나 누르십시오... 이렇게 나오는데 해결 방법이 없을까요?

  • 감사합니다 2016.12.13 15:10

    우와!! 감사합니다!!
    예전에 한번 시도했다가 포기했는데 ㅠㅠㅠㅠ
    "관리자 권한으로 실행"하는게 포인트였군요;;;; 사진 다 날려먹는줄 알았는데 ㅠㅠㅠ 완전 감동입니다!
    행복한 연말되세요!

  • 곰ㅁㅣㄴ 2017.04.15 20:03

    잘됩니다 고민많았는데 정말로 감사합니다
    뭐라 감사해야 할지 모르겠습니다 정말 감사드립니다