꿈을꾸는 파랑새

지난 시간에 소개해 드린 랜섬웨어인 힐다 랜섬웨어(HILDACRYPT Ransomware)에 대한 파일 복구 도구가 공개되었습니다. 일단 HILDACRYPT Ransomware(힐다 랜섬웨어) 파일 복원화 도구를 공개한 것은 해당 랜섬웨어 제작자가 공개했어 만들어진 파일 복원화 도구입니다.
힐다 랜섬웨어(HILDACRYPT Ransomware)는 힐다라고 하면 애니메이션 루크 피어슨(Luke Pearson) 원작의 동명의 동화책 시리즈를 애니메이션 화한 영국-캐나다 합작 애니메이션이며 넷플릭스(Netflix)에서 독점 배급을 하고 있으며 2018년 9월 21일 1편에서는 13개 에피소드가 공개되었고 또한 2020년에 2편도 예정되어 있습니다. 해당 애니메이션은 동화라서 현실과 판타지가 섞인 세계를 배경으로 하고 있으며 자연에서 자란 소녀 힐다가 도시로 이주해서 새로운 친구들을 사귀면서 벌어지는 다양한 사건들을 옴니버스 형식 비슷하게 진행이 됩니다. 오늘은 해당 애니메이션은 힐다(Hilda)를 가지고 만든 랜섬웨어 입니다.
랜섬웨어 실행 파일은 힐다 캐릭터 파일 아이콘으로 제작돼 있고 Microsoft PDF Document 으로 정상적인 파일로 위장하는 것이 특징입니다.
해당 랜섬웨어의 특징은 Malwarebytes 에서 제작한 백신프로그램(MBAMService), 애드웨어 제거 부분에서는 Adwcleaner를 인수해서 운영하는 업체입니다. 그리고 윈도우에서 기본적으로 탑재된 백신프로그램인 Windows Defender 백신프로그램(윈도우 디펜더,WinDefend) 서비스 중지를 시도하고 언제나 다른 랜섬웨어들과 마찬가지로 컴퓨터 사용자가 시스템과 파일 복구를 할 수 없도록 vssadmin.exe Delete Shadows/All/Quiet 명령어를 실행해서 복구를 막습니다.

HILDACRYPT Ransomware(힐다 랜섬웨어)decryption tools

HILDACRYPT Ransomware(힐다 랜섬웨어)HILDACRYPT Ransomware(힐다 랜섬웨어)

니다. 그리고 해당 랜섬웨어는 GlobeImposter Ransomware 변형된 랜섬웨어 입니다.
랜섬웨어 노트는 다음과 같습니다.
---+ HILDACRYPT v1.0 +---
All the files on this computer have been encrypted with a RSA-4096 + AES-256
cryptographic combination. These algorithms are used by the NSA and other top tier organisations.
Backups were encrypted, and shadow copies were removed. So F8 or any
other methods may damage encrypted data and make it unrecoverable.
We exclusively have decryption software for your situation.
More than a year ago, world experts have recognized the impossibility of
decrypting by any means without the original decryptor.
NO decryption software is available to the public.
Antivirus companies, researchers, IT specialists, and no one else can help you recover your data.
DO NOT RESET OR SHUTDOWN - file may be damaged.
DO NOT DELETE readme files.txt
DO NOT REMOVE OR RENAME the encrypted files.
This may lead to the impossibility of your files being recovered.
To confirm our honest intentions, send us 2 different files and you well get
them decrypted. They must not contain any sensitive information and must not
be archived.
To get info (decrypt your files) contact us at:  hildaseriesnetflix125@tutanota.com
or hildaseriesnetflix125@horsefucker.org
You well receive a BTC address for payment in the reply letter.
HILDACRYPT
No loli is safe :) -- hxxps://www.youtube.com/watch?v=XCojP2Ubuto
대충 번역을 하면 다음과 같습니다.
---+ HILDACRYPT v1.0 +---
이 컴퓨터의 모든 파일은 RSA-4096+AES-256 암호화 조합으로 암호화되었습니다. 이 알고리즘은 NSA 및 기타 최상위 조직에서 사용됩니다.
백업이 암호화되었고 섀도 복사본이 제거되었습니다. 따라서 F8 또는 다른 방법은 암호화된 데이터를 손상해 복구할 수 없게 만들 수 있습니다.
우리는 귀하의 상황에 맞는 해독 소프트웨어를 독점적으로 보유하고 있습니다.
1년 전, 세계 전문가들은 원래의 해독 기가 없으면 어떤 방법으로도 해독할 수 없다는 것을 인식했습니다.
대중에게 공개된 해독 소프트웨어는 없습니다.
바이러스 백신 회사, 연구원, IT 전문가와 그 밖의 누구도 데이터 복구를 도와줄 수 없습니다.
재설정 또는 종료하지 마십시오 – 파일이 손상되었을 수 있습니다.
readme files.txt를 삭제하지 마십시오.
암호화된 파일을 제거하거나 이름을 바꾸지 마십시오.
파일 복구가 불가능할 수 있습니다.
우리의 정직한 의도를 확인하기 위해 2개의 서로 다른 파일을 보내면 해독할 수 있습니다. 중요한 정보를 포함해서는 안 되며 보관해서는 안 됩니다.
정보를 얻으려면 (파일 암호 해독) 다음 연락처로 문의하십시오.
hildaseriesnetflix125@tutanota.com 또는 hildaseriesnetflix125@horsefucker.org
답장으로 BTC 주소를 받을 수 있습니다.
HILDACRYPT
로리가 안전하지 않습니다.- hxxps : //www.youtube.com/watch? v=XCojP2Ubuto

HILDACRYPT Ransomware 가 실행을 하면 C:\Users\%UserName%\AppData\Roaming{00000000-0000-0000-0000-000000000000} 폴더를 생성하여 내부에 Sysinternals Sdelete 파일(HildaloliLOVESMHTandVK_Intel.exe)과 SelfDel 파일(nflxcoreupdate_WOW64.exe)을 추가 생성하고 만들어진 파일은 일반적으로 파일 복구 및 자신의 흔적 삭제 목적으로 사용될 가능성이 있습니다. 그리고 랜섬웨어 가 헤더(Header) 부분에 HILDACRYPT 시그니처 값을 추가하고 AES Key 정보와 AES IV 정보를 쓰고 원본 데이터를 암호화하는 방식으로 변경합니다.

HildaCrypt Ransomware Decryption Keys
HildaCrypt Ransomware의 개발자는 랜섬웨어의 개인 암호 해독 키를 공개하기로 결정했고 해당 키를 사용하면 잠재적인 피해자가 파일을 무료로 복구할 수 있는 암호 해독기를 만들 수 있습니다. 해당 랜섬웨어 개발자는 랜섬웨어에 대한 마스터 개인 암호 해독 키를 공개하기로 했습니다.
해당 키를 사용하면 피해자가 무료로 파일을 다시 가져올 수 있는 암호 해독기를 만들 수 있습니다. 랜섬웨어 개발자는 HildaCrypt는 재미를 위해서만 만들어졌으며 주로 교육적이었습니다 라고 합니다. 해당 암호키는 Emsisoft에 의해서 복원화 도구를 무료로 배포하고 있습니다. 해당 Emsisoft 공식홈페이지에서 파일을 다운로드 해서 실행을 하시면 됩니다. 그래서인지 힐다 랜섬웨어는 유튜브에 연결한 링크가 힐다 애니메이션의 공식홈페이지에 연결된 것 같습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band