오늘은 Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법에 대해 알아보는 시간을 가져 보겠습니다.일명 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)으로 불리우는 해당 랜섬웨어는 기본적으로 MBR (Master Boot Record)도 함께 건드리기도 합니다.그래서 사용자 입장에서는 정말 나쁜 토끼입니다. 그리고 기본적으로 그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염이 성공을 하면 컴퓨터를 재부팅을 합니다. 그리고 나서 MBR에 걸린 랜섬웨어에 대해 랜섬노트를 제시를 하고 몸값을 제시합니다. 그리고 몸값으로 Tor 브라우저를 이용해서 Tor 네트워크의 사이트에 접속해서 0.05 Bitcoin (약 280달러)을 요구합니다.
그리고 2017년 초에 미국을 강타한 HDDCryptor Ransomware처럼 오픈소스디스크암호화도구인 DiskCryptor를 사용을 하고 있습니다.그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 미국 드라마인 Game of Thrones(왕좌의게임)를 매우 좋아하는지 Grayworm와 같이 Game of Thrones에 나오는 캐릭터 이름이 많이 나오는 것이 특징입니다.
일단 기본적으로 웹사이트를 해킹하고 가짜 어도비플래시플레이어를 설치를 하라는 메시지를 사용자가 나오면 install_flash_player.exe이라는 파일을 사용자가 실행하면 감염이 실행됩니다. 해당 나쁜 토끼 랜섬웨어가 실행이 되면 C:\Windows\infpub.dat를 삭제를 합니다. 그리고 나서 C:\Windows\system32 rundll32.exe,C:\Windows\ infpub.dat 명령어를 통해서 실행됩니다.그리고 실행이 되면 Infpub.dat을 생성을 하고 C:\Windows\cscc.dat,C:\Windows\dispci.exe파일을 생성을 합니다.파일을 암호화하고 나서
Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#1:
Network Activity:
물론 백신프로그램으로 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)를 처리하고 나서 일입니다. 물론 100% 복구를 할 수가 있다는 것이 아닙니다. 러시아 보안 업체인 카스퍼스키(Kaspersky)에서는 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)을 제작을 할 때 두가지 실수를 했다고 합니다.
나쁜 토끼는 보통 기본적으로 랜섬웨어들이 하는 섀도우 볼륨 복사본을 삭제하지 않았다는 것이 가장 치명적인 실수였습니다. 즉 보통 랜섬웨어들은 해당 섀도우 볼륨 복사본을 삭제해서 복구하는 것을 어렵게 하는데 이상하게도 섀도우 볼륨 복사본를 삭제를 하지 않아서 백신프로그램으로 랜섬웨어를 제거를 하고 지난 시간에 소개해 드린 ShadowExplorer(새도우 익스플러워)를 사용을 해서 복구를 시도할 수가 있습니다. 물론 100% 복구가 된다는 보장은 없습니다.
[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법
다음은 카스퍼스키(Kaspersky)팀에서 MBR(마스터 부트 레코드)를 암호화하고 나서 부팅을 하면 부팅화면에 Bad Rabbit ransomware(배드래빗 랜섬웨어)는 몸값을 받으려고 하려고 할 것입니다. 여기서 카스퍼스키(Kaspersky)연구원들이 분석을 통해서 사용자 정의 부더를 무시가 되지만 사용자 컴퓨터에 들어가 져 있는 암호화된 파일들은 복구 불가입니다. 일단 Your personal installation key#1: 입력을 하라고 할 때 다음과 같이 입력을 해주면 됩니다.
8FuMr3mVjPnFLfwiEgQ571wGxyGzeoZF
입니다. 일단 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)에 감염이 되었으면 한 번쯤은 시도를 할 수가 있습니다. 물론 100% 복구는 불가하겠지만요.
<기타 관련 글>
[보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool
[보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
[소프트웨어 소개/소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법
[보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree
[보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법
[보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
[보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 구글 크롬 브라우저에서 원치 않는 리디렉션 보호 기능 사용 방법 (6) | 2017.11.10 |
|---|---|
| 아돌프 히틀러 랜섬웨어(Adolf Hitler Ransomware) 감염 증상 (10) | 2017.11.09 |
| 일본을 노리는 ONI Ransomware(오니 랜섬웨어) 감염 증상 및 예방 방법 (4) | 2017.11.07 |
| 안드로이드 랜섬웨어-Doublelocker android Ransomware(더블락 안드로이드 랜섬웨어) 감염 및 증상 (4) | 2017.11.04 |
| 사용자 컴퓨터를 비트코인 채굴에 이용하는 악성코드-BitCoin Miner (비트코인 마이너) (8) | 2017.10.27 |
| Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염 증상 및 예방 방법 (12) | 2017.10.26 |
| 윈도우 디펜더 익스플로잇 기능 설정 하기 (8) | 2017.10.24 |
| 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상 (0) | 2017.10.23 |
