Dharma Ransomware(Dharma 랜섬웨어)파일 암호화 복구툴 공개-Kaspersky RakhniDecryptor

꿈을꾸는 파랑새

작년 2016년11월에 출현을 했고 해당 랜섬웨어 이름을 보면 Dharma라는것이 볼 수가 있는데 인도철학에서는 산스크리트어 낱말 다르마(달마)로도 불리는 자연법이라고 합니다.
일단 해당 랜섬웨어인 Dharma Ransomware(Dharma 랜섬웨어)는 Crysis 랜섬웨어의 변종으로 보안 취약점이 존재하는 RDP 즉 원격데스크톱 프로토콜을 통해서 감염되며 파일을 암호화하는 과정을 통해서 사용자에게 금전적인 요구를 하고 있습니다. 물론 이메일을 통해서도 배포가 되며 가짜 항공권, 과속벌금 관련 등 다양한 버전으로 배포되고 있습니다.

이메일을 확인할 때에도 신중하고 보아야 할 것입니다. 해당 Dharma Ransomware(Dharma 랜섬웨어)는 파일의 암호화가 진행되며 파일 이름, 이메일 주소·dharma 형식으로 변경을 해버리며 그리고 일부 형식도 변종 형식도 있습니다.

.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma

그리고 Dharma Ransomware(Dharma 랜섬웨어)는 감염된 컴퓨터에 몸값을 지급하는 방법에 대해 간단하게 메시지를 보여 줍니다.
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com
How the Dharma Ransomware Infection Works
간단하게 번역을 하자면 파일을 복원하고 싶은 경우 악의적인 목적을 가진 사람의 이메일 주소를 보여주고 몸값을 요구합니다.

일단 ShadowExplorer를 통해서 데이터 복구를 할 수가 있습니다. 물론 시스템 복원지점을 설정했을 때서 가능합니다. 그리고 ShadowExplorer를 사용을 하기 전에서는 반드시 Dharma Ransomware(Dharma 랜섬웨어) 숙주를 백신프로그램으로 제거해야 할 것입니다.

[보안(Security)] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

그리고 최근에는 Dharma Ransomware(Dharma 랜섬웨어)에 대한 MasterKey(마스터 키)가 노출이 되었어 해당 노출이 된 마스터키를 이용해서 Kaspersky에서 해당 랜섬웨어에 감염이 되어서 암호화된 파일에 대해서 복구 도구를 배포하고 있습니다.
Kaspersky RakhniDecryptor

일단 해당 Kaspersky에서 제공하는 Kaspersky RakhniDecryptor 최신 버전을 다운로드를 해서 복구를 진행할 수가 있습니다. 아마도 해당 랜섬웨어에 감염이 되어서 고생하시는 분들에게 조금이나 도움이 될 수가 있을 것으로 생각합니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://prolite.tistory.com IT세레스 2017.03.05 02:29 신고

    계속 암호화 복구툴이 업데이트 되는군요.^^

    • Favicon of https://wezard4u.tistory.com Sakai 2017.03.05 15:37 신고

      아마도 시간이 지나면 다른 랜섬웨어 암호화 복구툴들도 많이 생겨날것 같습니다.