랜썸웨어 복구 툴이 있네요~

랜썸웨어로 .ccc 암호화 된 file들이 많이 있었는데, TeslaDecoder를 사용해서 모두 복구를 할 수 있게 되었네요~ ^^*

 

===== 랜썸웨어로 암호화된 file 복구법 =====

( 현재 teslaCrypt 0.3.4a ~ 2.2.0까지 보구 가능 : ecc, ezz, exx, xyz, zzz, aaa, abc, ccc, vvv, … 복구 )

 

1. TeslaDecoder down 받아 압축 해제 ( http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip )

 

2. 압축 해제된 directory에서 TeslaViewer.exe를 실행 시킴

 

3. teslaviewer의 [Browser…] 버튼을 눌러 암호화된 file 한개를 읽어 들이면 그림에서 처럼 encrypt 정보가 표시됨
1.teslaview

 

4. 하단의 [Create work.txt] 버튼을 누르면 Teslaviewer.exe 가 있는 folder에 work.txt가 생성됨

 

5. work.txt file을 연후 상단에 있는 PrivateKeyBC의 SharedSecret1*PrivateKeyBC의 dec 값을 복사한다.
2.work.txt

 

6. 공개키를 소인수 분해한 값들을 찾아 주는 Yafu program을 다운 받아 압축을 해제한다. http://download.bleepingcomputer.com/td/yafu.zip

 

7. 방금 압축해제한 folder에서 RunYafu.exe program을 찾아 실행시킨 후 가운데 있는 [TuneYafu] 버튼을 눌러 yafu 실행 환경을 최적화 시켜 준 후(CMD 창이 열려 작동후 자동으로 닫힌 후) Runyafu를 닫음, 다른건 건드릴 필요없이 아래 그림의 동그라미 친 버튼만 누르면 됨 (몇분 소요됨)
3.runyafu

 

8. 다시 압축해제한 folder에서 자신의 OS가 32bit이면 factorX86.bat, 64bit이면 factorX64.bat batch file을 실행시킨다.

 

9. Enter DEC SharedSecret1*PrivateKeyBC: 부분에 조금전 5. 에서 복사했던 십진값을 붙여넣기 한다. ( CMD 창 Title에서 오른 마우스 클릭후, [편집] -> [붙여넣기] )4.factorx 실행

 

10. Amount of Threads: 에 자신의 CPU core에 맞게 2 또는 4 등을 입력하고 Enter키를 누른다.
( 결과 나오기까지 시간 많이 소요됨 )5.factorx 실행1

 

11. 결과로 나온 ***factors found*** 아래에 P1, P2, … 의 내용들을 선택하여 복사한다. ( CMD 창의 title에 우측 마우스 버튼을 누른후, [편집]->[표시]를 한후 복사할 부분을 마우스 드래그하여 선택, title에서 우 클릭후, [편집]->[복사] )
6.factorx 실행결과

 

12. TeslaDecoder folder로 다시 돌아 가서, TeslaRefactor.exe file을 실행시킨후, 앞에서 복사한 내용을 붙여 넣기 한 후에 값에 대한 내용만 남겨 두고, = 앞부분을 모두 지워준다.
7.tesla refactor

 

13. Public key(hex) 부분에 5.의 work file에서 PublicKeyBC =  에 해당하는 16진 값을 복사하여, 붙여 넣고 [Find private key] 버튼을 클릭하면, [Private key(hex)]에 복구를 위한 16진 암호가 나타나는 데, 이것을 복사해둔다.

 

14. TeslaDecoder folder의 TeslaDecoder.exe를 실행시킨 후, [Set key] 버튼을 누른 후key(hex)에 앞에서 복사한 key 값을 붙여넣기 한후, Extension 부분에서 해당 확장자를 선택한후, [Set key] 버튼을 클릭한다.
8.tesladecoder실행-

9. set key

 

15. [Decrypt Folder] 버튼을 클릭한 후 암호화된 file이 저장되어 있는 folder를 선택한다.

 

16. 대화창이 나타나면서 암호화된 file을 복구후에 삭제할 것인지를 묻는데, 삭제하려면 [예(y)]를 보존하려면 [아니오(N)]를 클릭하여 암호화된 file을 복구한다.
10.최종 messgae

 

{ http://www.factordb.com 싸이트에서 이미 등록된 암호키라면 FactorDB에서 암호를 찾을 수 있어 6~13번까지 건너뛸 수 있지만, 존재하지 않을 가능성이 높기 때문에 건너 뛰었음 }

    About wansoo

    wansoo

    Leave a Reply

    101 개의 댓글이 있습니다 - "랜썸웨어 복구 툴이 있네요~"

    메일 알림 설정
    정렬:   최신 | 오래된 | 추천
    alec

    오늘 오전에 랜섬웨어에 감염 되었는데.. 확장자가 모두 zzzzz 화일로 바뀌었네요….ㅜㅜ 혹시 복구 방법이 있을까요? 좀 급하네요

    라벨르

    제 파일은 mp3가 확장자로 붙어있습니다. 그런데 브라우저로 해당파일을 찾으면 창에 아무것도 찾아지지 않네요(일치하는 항목이 없습니다). 좀 더 기다려야 할까요.

    mulgari

    안녕하세요~ 저는 몇 달전 걸려서 사진 파일이 전부.ccc로 감염 되었네요.ㅠㅠ

    친절한 설명따라 하고 있는데 10번에서 실행이 되다가..

    ……
    ecm: 0/214 curves on C126, B1=50K, B2=gmp-ecm default 가 실행하는 단계에서

    새 팝업창 ‘ecm.exe의 작동이 중지되었습니다’가 뜨네요.ㅠㅠ

    다시 부팅해보고 몇 번 다시 해봐도 같은 증상인데 이건 문제점이 뭔지 알기 어려우시겠죠?ㅠㅠ

    thcom

    복구 되네요. 전부는 아니지만. 고맙습니다.

    junseo

    랜섬웨어에 걸렸는데 컴맹인지라 도저히 어떻게 풀어야하는지 모르겠습니다. 도와주시면 정말 감사드리겠습니다..

    샤모니

    cached 78498 primes. pmax = 999983

    >> fac: factoring 24644643380250344123522812986682669058327137917070294939101679
    33824213024932857261038036557261632186448132767467722451415586576768801136970457
    13824733098
    fac: using pretesting plan: normal
    fac: no tune info: using qs/gnfs crossover of 95 digits
    fac: found nfs job file, resuming nfs
    A data file (.dat) exists in the current directory. It must either be removed o
    r -R specified to resume nfs
    pretesting / nfs ratio was 0.00
    Total factoring time = 0.0312 seconds

    ***factors found***

    C102 = 1511540954314570395725425704367693329529664095120987465753876563974293798
    06314703271085527711292510407

    ans = 15115409543145703957254257043676933295296640951209874657538765639742937980
    6314703271085527711292510407

    C:\TeslaDecoder.vol1\yafu>

    아무리해도 이렇게 나오는데 왜인가요?
    실행중간에 컴퓨터가 다운되어서 다시했더니 이렇네요
    혹 방법이 있나요?

    HS park

    안녕하세요! 3달전쯤에 문의드린사람인데….ㅎㅎㅎㅎ확인을못해서…
    다시 시도해보고있는데
    Warining: lowering FB_bound to 3795999.
    이렇게 나오는게 정상적으로 찾고 있는거 맞나요?ㅎㅎㅎ

    쾌변기원

    cerber 랜섬웨어에 감염되었는데 암호화된 파일 정상으로 만들 수 있을까요????

    parks

    안녕하세요~~
    질문있어요~~
    처음 3번에 browse 열고 파일이 나와야 하는데
    폴더에 파일은 있는데 여기서 파일이 나오지 않는건 왜그런가요??
    ㅜㅜ

    Nacta

    저 좀 도와주세요 ㅠㅠ

    C102 = 881308226879445477086812726608226774511371717849751215020707796264762535059279160655918754256171422953

    저는 값이 이런식으로 뜨고 tesla refactor 를 사용하면

    private key (hex) [NOT FOUND]

    라고 떠서 어떻게 해야 할지 모르겠어요

    son tmdwo

    오 드디어 warning 이거 뜨네요!!! 이제 하루 더 기다리면 될거같습니다.

    두나짱

    의지의 한국인 꼭 복원 성공하세요~

    son tmdwo

    ㅎㅎㅎㅎㅎ3일동안 컴터 키는것도 힘들군요…. 전기세 많이 나갈것 같네요.ㅋㅋ

    두나짱

    3일동안 고생했으니 복구 성공 하면 기쁨은 3배~ 꼭 성공하세요 🙂

    son tmdwo

    3389992010561943974736500612366240819136510427248976932242393962112843250464309234251301722412039438017341282270138015277910423
    read 10M relations
    nfs: commencing msieve linear algebra
    linear algebra completed 1095227 of 1095546 dimensions (100.0%, ETA 0h 0m)
    nfs: commencing msieve sqrt
    NFS elapsed time = 229423.9571 seconds.
    Total factoring time = 250115.5316 seconds

    ***factors found***

    P1 = 2
    P1 = 2
    P1 = 2
    P1 = 2
    P1 = 3
    P1 = 5
    P2 = 11
    P5 = 12923
    P10 = 9700196197
    P10 = 1408093889
    P53 = 12237648199015861621796492551345173796417877253469091
    P75 = 277013357095406897767259188700220819704890492954780308251740063298948534653

    ans = 1

    드디어 복구키 얻었습니다. ㅠㅠ 감사합니다!! 소중한 정보 감사합니다!
    대략 62시간이 걸렸습니다.

    두나짱

    드디어.. 축하 합니다~ 축하 합니다~

    Jeremy

    오~ 축하드립니다.
    저도 주말내내 돌려놓아야겠네요.

    Jeremy

    저도 아침 9시부터 10번 과정 소인수분해 시작했는데,
    14시간째 계속 돌고 있습니다.
    아래 분과 마찬가지로 thread 수를 1로 해서 그런가요… 아니먼 PC가 느려서 그럴까요…

    son tmdwo

    저도 컴퓨터 놋북이 8년전 꺼라 ccc파일 내용물들 다 집에 있는 컴퓨터에 옮겨서 했습니다. 조립컴퓨터라서 성능도 그리 나쁘지 않아서 저같은 경우는 작업할때 쓰레드 보기가 4까지 맥시멈이여서요. 근데 저는 thread 3으로 했을때는 오류가 떠서 그냥 프로그램들 다시 다 삭제하고 재설치하고 했거든요…(계속 쓰레드 바꿔서 하다보면 파일 내용이 겹쳐서 오류뜬다고 하더라고요…)진짜 기다림이 답인거 같아요. 파일들도 다 복구했고용.ㅎㅎㅎㅎㅎ

    son tmdwo
    저는 지금 2일째 돌리는중입니다. 10488 21957946743199 3176151422848581414815800 10488 15725854328089 3176151422741675991834969 10488 26561664348259 3176151422676063153638776 10488 14584324495571 3176151422674306141701160 여기까지 갔다가 이제 여기서 더 기달려야하는 상황이네요.,.. 사람들이 여기서 대부분 끈다고 하길래 어떤분은 여기서부터 11번째 까지 가려면 7시간 넘게 걸렸다는데요… 저는 더 기다려보려고요.. hashtable: 4096 entries, 0.06 MB elapsed time of 37052.7773 seconds exceeds 37270 second deadline; poly select done nfs: commencing algebraic side lattice sieving over range: 3900000 – 3956000 Warning: lowering FB_bound to 3899999. total yield: 221763, q=3956027 (0.01563 sec/rel) nfs: commencing algebraic side lattice sieving over range: 3956000 – 4012000 Warning: lowering FB_bound to 3955999. total yield: 214667, q=4012013 (0.01551 sec/rel)… Read more »
    son tmdwo
    10번과정에서 진짜 하루 꼴딱 세서 이렇게 나왔습니다. 아직도 현재 진행형입니다. SharedSecret1*PrivateKeyBC 1579712584872556944843293899841118471748165194667806363092920320769849337965625418546972863017478537500557651662825967425138145716885651424493296968550480 어마운트 오브 쓰레드는 1로 했는데 시간 진짜 오래걸리군요… hashtable: 4096 entries, 0.06 MB elapsed time of 37052.7773 seconds exceeds 37270 second deadline; poly select done nfs: commencing algebraic side lattice sieving over range: 3900000 – 3956000 Warning: lowering FB_bound to 3899999. total yield: 221763, q=3956027 (0.01563 sec/rel) nfs: commencing algebraic side lattice sieving over range: 3956000 – 4012000 Warning: lowering FB_bound to 3955999. total yield: 214667, q=4012013 (0.01551 sec/rel) nfs: commencing algebraic side lattice sieving over range: 4012000 – 4068000 Warning: lowering FB_bound to 4011999. total yield: 224814,… Read more »
    kangtaekyu

    11번에서 너무 오래걸립니다….ㅜㅜ

    Shane Hong

    너무너무너무X100 감사합니다. 몇년간의 추억이 모두 깔끔하게 복구되었네요. ^^ 어떻게 답례를 드릴 방법이 있을까요??

    두나짱

    wansoo님은 이 게시물의 해결사네요 ㅎㅎㅎㅎ

    v윤양v

    10번까지 진행했는데, 아래 메세지에서 더이상 진행되질 않네요;;
    윈7 32bit인데, 뭐가 문제인걸까요;;

    ———–
    hashtable: 1024 entries, 0.02 MB
    elapsed time of 4613.5822 seconds exceeds 4600 second deadline; poly select done

    nfs: commencing algebraic side lattice sieving over range: 1860000 – 1900000
    Warning: lowering FB_bound to 1859999.
    total yield: 322633, q=1900009 (0.00817 sec/rel)
    nfs: commencing algebraic side lattice sieving over range: 1900000 – 1940000
    Warning: lowering FB_bound to 1899999.
    total yield: 274650, q=1933277 (0.00838 sec/rel)

    센척하네

    안녕하세요 집 컴퓨터 소중한 파일들이 .mp3로 변했습니다.
    위 설명대로 해봤는데 잘 안되네요ㅠ
    메일로 파일 하나 보내드릴테니 부탁드립니다.

    sanghee

    안녕하세요~ 회사에서 쓰는 컴이 바이러스 먹어서 지푸라기라도 잡는 심정으로 글 올립니다. 알려주신 방법으로 했는데 3번에서 파일이 잡히지 않네요. 그래서 마음이 급해져서 알려주신 메일로 샘플 보냈습니다. ㅜㅜ 저도 모든 파일이 MP3 파일로 변환됐어요. 제발 도움좀 주시면 감사하겠습니다. 꼭 부탁드립니다.
    메일주소는 [email protected] 입니다.

    블루데이

    안녕하세요? CCC파일 때문에 몇달간 고생하다가 사막의 오아시스 처럼 여길 찾게 되었네요.
    그런데 저는 10번단계에서 시간이 너무 오래 걸려서(12시간이상) 일단 종료하고 컴퓨터 재부팅 후 처음부터 다시 했더니 11번단계에서

    ***factors found***

    C132 = 2341644031323495997380992357622039542545371382154472074857413213634591272
    00691788071128790668723200145365898157240190746049589152719

    ans = 23416440313234959973809923576220395425453713821544720748574132136345912720
    0691788071128790668723200145365898157240190746049589152719

    이런 결과가 나옵니다.
    혹시나 해서 이대로 복사해서 다음단계 진행해도 안돼구요.
    뭐가 잘못된 걸일까요? ㅠㅠ
    컴퓨터는 윈도우7 64비트, i7 램16기가 입니다.

    노아아빠

    모든 파일에 저희 컴퓨터는 mp3파일로 변환되었는데
    이거 사용해보려했는데 감염된 파일을 선택을 못하네요.. mp3파일이라 그런가.. ㅠㅠ
    어떻게 해야하나요 ㅠㅠ 복구해야하는데…꼭.

    Ok Seung Lee

    안녕하세요….저도 모든파일이 mp3 파일로 변환되어서ㅠㅠ알려주신방법으로 하려니 읽어오는 파일이 없네요ㅠㅠ
    괜찮으시면….도와주실수 있을까요…..(지금 너무 패닉상태이네요…ㅠㅠ덜덜)……??

    HS park
    안녕하세요 저도 밑에분이랑 같은 증상인데 hashtable: 2048 entries, 0.03 MB elapsed time of 31962.8794 seconds exceeds 32188 second deadline; poly select done nfs: commencing algebraic side lattice sieving over range: 3700000 – 3748000 Warning: lowering FB_bound to 3699999. total yield: 201401, q=3748021 (0.01515 sec/rel) nfs: commencing algebraic side lattice sieving over range: 3748000 – 3796000 Warning: lowering FB_bound to 3747999. total yield: 206459, q=3796003 (0.01516 sec/rel) nfs: commencing algebraic side lattice sieving over range: 3796000 – 3844000 Warning: lowering FB_bound to 3795999. total yield: 204469, q=3844019 (0.01519 sec/rel) nfs: commencing algebraic side lattice sieving over range: 3844000 – 3892000 Warning:… Read more »
    돌돌

    ccc파일 복구 프로그램을 기다리고 있었는데 이렇게 기회가 생겨 시도 중입니다.
    그런데 한가지 문의 드릴 내용이 10번 단계에서
    hashtable: 2048 entries, 0.03 MB
    elapsed time of 13442.9062 seconds exceeds 13500 second deadline; poly select done
    nfs: commencing algebraic side lattice sieving over range: 2750000 – 2790000
    Warning: lowering FB_bound to 2749999.
    total yield: 105103, q=2764199 (0.01063 sec/rel)
    라고 나타나는데 뭐가 잘못된 건지를 잘 모르겠네요. 혹시 도움을 얻을 수 있을까요?
    답변 부탁 드립니다.

    가시아빠

    좋은 자료 감사합니다…
    혹시나 해서 매뉴얼대로 복구해봤는데 복구가 잘 되네요~
    감사합니다.

    타비당

    .ccc 복구 툴이 언제 나올까 계속 기다리고 있었는데
    오늘 해보니까 바로 풀리네요.^^
    좋은 정보 정말 감사합니다!!

    2voo

    안타깝게도 제가 걸린 .encrypted는 복구할 수 없나보네요.
    TeslaViewer.exe 에서 파일 찾기가 되지 않습니다.
    최신 치료툴이 나오길 기대합니다.
    좋은 자료 감사합니다.

    Jaclyn Ko

    와우…전부 복구하진 못하는것 같지만, 랜섬웨어를 퇴치하는 무언가가 나왔다는게 좋은것 같습니다. 랜섬웨어 걸리면 한번 사용해 보고 싶네요..

    말레이곰

    문의 드립니다. 저도 파일등록 문의인데요.
    워드파일, ppt파일, jpg 파일 등 “unkonwn or inwalid format”라고 팝업이 뜹니다.
    (Browser 버튼으로 등록할 수 있는 파일이 하나도 없게 나오는 바람에 drag and drop으로 실행시켰습니다.)
    혹시나 파일 확장명 때문인가 해서 파일 확장명 삭제, 변경(스샷처럼 .ccc)로 해보았는데도 되질않네요.
    ㅠㅜㅜ 포기했던 하드지만 10년치 기억이 날라간상황이라 지푸라기라도 있으면 매번 시도해보고있습니다…
    댓글쓰려고 가입했네요 ㅎㅎㅎ

    제게 해당안되더라도 너무 좋은 툴 만들어주셔서 감사합니다.

    말레이곰

    아! 제가 걸린 파일 열어보니 친절하게도 CryptoWall 3.0 이라고 알려주네요.
    첨부해 주신 로그 보니 제가 걸린 랜섬은 리스트에 없는 것 같네요.
    댓글 지우는 법을 몰라 이렇게 추가로 남깁니다.(__

    제 컴퓨터가 복구되진 않았지만 그래도 좋은 툴 만들어주셔서 감사합니다.
    새해 복 많이 받으세요^^!

    전산초보임니다

    너무나 좋은 정보 감사드립니다.

    샹타

    이런 꿀자료가~ 정리하시느라 고생 많으셨습니다

    suwant

    정말 좋은 자료 감사합니다~ 랜섬웨어 감염된 지인에게 알려줬는데 복구 성공했다고 하네요^^

    닉부이치치

    대박이네요 ㄷㄷ! 좋은 정보 감사합니다.

    윤대섭

    wansoo 님 감사합니다.
    방금 직원분 PC에 돌려보았는데 전부 다 풀리고 있습니다.
    이런 좋은 자료 공유해주셔서 고맙습니다.

    보안인

    좋은 자료 감사합니다.
    공유하기 좋은 자료인것 같네요~

    100cents

    좋은 자료 감사합니다.

    빠쓰 ^^

    저거 만드신 분 무척 고생하셨겠네요~ 좋은 정보 감사합니다.

    두나짱

    와우.. 복구가 가능한가보네요
    그래도 나중에라도 안써먹었으면 좋겠네요. ㅎㅎㅎ
    캡쳐 하시고 작성하느라 고생하셨겠네요. 수고하셨습니당~

    runed

    좋은 자료 감사합니다 ^^

    공유하기 정말 좋은자료네요.

    사진은 보이는거같은데 더 많이 올리신거에요?

    wpDiscuz