꿈을꾸는 파랑새

오늘은 Bad Rabbit ransomware(배드래빗 랜섬웨어)복구 방법에 대해 알아보는 시간을 가져 보겠습니다.일명 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)으로 불리우는 해당 랜섬웨어는 기본적으로 MBR (Master Boot Record)도 함께 건드리기도 합니다.그래서 사용자 입장에서는 정말 나쁜 토끼입니다. 그리고 기본적으로 그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)감염이 성공을 하면 컴퓨터를 재부팅을 합니다. 그리고 나서 MBR에 걸린 랜섬웨어에 대해 랜섬노트를 제시를 하고 몸값을 제시합니다. 그리고 몸값으로 Tor 브라우저를 이용해서 Tor 네트워크의 사이트에 접속해서 0.05 Bitcoin (약 280달러)을 요구합니다.

그리고 2017년 초에 미국을 강타한 HDDCryptor Ransomware처럼 오픈소스디스크암호화도구인 DiskCryptor를 사용을 하고 있습니다.그리고 Bad Rabbit Ransomware(나쁜 토끼 랜섬웨어)는 미국 드라마인 Game of Thrones(왕좌의게임)를 매우 좋아하는지 Grayworm와 같이 Game of Thrones에 나오는 캐릭터 이름이 많이 나오는 것이 특징입니다.

일단 기본적으로 웹사이트를 해킹하고 가짜 어도비플래시플레이어를 설치를 하라는 메시지를 사용자가 나오면 install_flash_player.exe이라는 파일을 사용자가 실행하면 감염이 실행됩니다. 해당 나쁜 토끼 랜섬웨어가 실행이 되면 C:\Windows\infpub.dat를 삭제를 합니다. 그리고 나서 C:\Windows\system32 rundll32.exe,C:\Windows\ infpub.dat 명령어를 통해서 실행됩니다.그리고 실행이 되면 Infpub.dat을 생성을 하고 C:\Windows\cscc.dat,C:\Windows\dispci.exe파일을 생성을 합니다.파일을 암호화하고 나서

Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#1:
Network Activity:

라는 메시지를 내보내는 랜섬웨어 입니다. 일단 특이하게도 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)은 윈도우의 시스템 복원지점을 파괴하지 않는다는 것입니다. 일단 시스템 복원지점을 실행하는 분들은 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)에서 암호화된 파일을 복구할 가능성이 조금은 커졌다고 할 수가 있을 것입니다.

물론 백신프로그램으로 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)를 처리하고 나서 일입니다. 물론 100% 복구를 할 수가 있다는 것이 아닙니다. 러시아 보안 업체인 카스퍼스키(Kaspersky)에서는 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)을 제작을 할 때 두가지 실수를 했다고 합니다.
나쁜 토끼는 보통 기본적으로 랜섬웨어들이 하는 섀도우 볼륨 복사본을 삭제하지 않았다는 것이 가장 치명적인 실수였습니다. 즉 보통 랜섬웨어들은 해당 섀도우 볼륨 복사본을 삭제해서 복구하는 것을 어렵게 하는데 이상하게도 섀도우 볼륨 복사본를 삭제를 하지 않아서 백신프로그램으로 랜섬웨어를 제거를 하고 지난 시간에 소개해 드린 ShadowExplorer(새도우 익스플러워)를 사용을 해서 복구를 시도할 수가 있습니다. 물론 100% 복구가 된다는 보장은 없습니다.

[보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

다음은 카스퍼스키(Kaspersky)팀에서 MBR(마스터 부트 레코드)를 암호화하고 나서 부팅을 하면 부팅화면에 Bad Rabbit ransomware(배드래빗 랜섬웨어)는 몸값을 받으려고 하려고 할 것입니다. 여기서 카스퍼스키(Kaspersky)연구원들이 분석을 통해서 사용자 정의 부더를 무시가 되지만 사용자 컴퓨터에 들어가 져 있는 암호화된 파일들은 복구 불가입니다. 일단 Your personal installation key#1: 입력을 하라고 할 때 다음과 같이 입력을 해주면 됩니다.
8FuMr3mVjPnFLfwiEgQ571wGxyGzeoZF
입니다. 일단 해당 Bad Rabbit ransomware(배드래빗 랜섬웨어)에 감염이 되었으면 한 번쯤은 시도를 할 수가 있습니다. 물론 100% 복구는 불가하겠지만요.


그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band