PETYA 랜섬웨어 해독 성공

제가 자주 찾는 커뮤니티 클리앙에서 새소식이 올라와서 공유해드립니다^^
http://www.clien.net/cs2/bbs/board.php?bo_table=news&wr_id=2152211&page=0&sca=&sfl=&stx=&spt=0&page=0&comment_page=last&cwin=#c_2152247


‘Leostone’이라는 개인이 PETYA 랜섬웨어가 암호화시킨 컴퓨터를 복호화할 수 있는 비밀번호를 생성해주는 사이트를 개설했습니다 ;
https://petya-pay-no-ransom.herokuapp.com/

생성하기 위해서는 하드디스크의 특정 섹터 데이터를 추출한 다음 Base64 인코딩으로 변환해야 합니다. 대부분 피해자들에게 간단한 작업이 아니므로 Fabian Wosar라는 다른 유저가 이 데이터를 쉽게 추출할 수 있는 툴을 개발했습니다. 이 툴을 사용하기 위해서는 감염된 하드 디스크를 분리해 정상 구동되는 다른 윈도우 컴퓨터에 장착해야 합니다. 감염된 컴퓨터에 여러 개의 하드 디스크를 사용하고 있었던 경우에는 부트 드라이브, 즉 C:/ 가 있는 드라이브만 분리하면 됩니다.

하드디스크를 분리해 다른 컴퓨터에 장착하기 어려운 경우에는 USB 도킹 스테이션 사용을 권장합니다. 암호화된 디스크를 도킹 스테이션에 삽입하고 USB 케이블로 작동하는 컴퓨터에 연결하면 됩니다.

암호화된 디스크를 컴퓨터에 연결하면 Petya Sector Extractor를 내려받은 다음 압축을 풀어 PetyaExtractor.exe를 실행합니다 :
http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip

프로그램을 실행하면 랜섬웨어 코드가 있는 드라이브가 있는지 검사하여 자동으로 선택해줍니다. 프로그램에서 Copy Sector를 선택하여 복사한 다음 해독 사이트의 “Base64 encoded 512 bytes verification data” 칸에 Ctrl + V 붙여넣기합니다. 다시 프로그램으로 돌아가 Copy Nonce를 선택한 다음 사이트의 “Base64 encoded 8 bytes nonce” 칸에 Ctrl + V 붙여넣기합니다.

그런 다음 사이트에서 Submit 버튼을 클릭하면 1분 이내로 복호화 비밀번호가 생성됩니다. 다시 암호화된 디스크를 원래 컴퓨터에 장착한 다음 랜섬웨어의 화면에서 이 비밀번호를 입력하면 복호화가 이뤄지며, 정상적으로 부팅할 수 있게 됩니다.

이미지 첨부

좋은 소식이네요…^^

희 소식이네요~
그런데, PETYA는 확장자가 뭔가요..?
랜섬웨어에 감염되면 하드 디스크 이미지까지 떠둘 필요가 있겠네요~

  • werther20
    PETYA확장자는 잘 모르겠습니다. 얼마전에 직원이 걸렸다고 해서 (해골이미지) 전원 내리고.. 바로 포맷을 시켜버렸거든요..ㅠ.ㅠ~~
  • wansoo
    다시 생각해 보니, file을 암호화 시키는 게 아니고, 디스크 영역을 암호화 시키는 걸로 기억되네요~ 디스크를 암호화 시켜서 부팅자체를 못하게 만드는 랜섬웨어에 대한 기사를 전에 본적이 있네요.

조…좋은소식입니다!

  • werther20
    얼마전 눈물을 머금고 삭제를 시켰는데.. 이렇게 복구가 가능한 툴이 나오네요.. 이제 걸리면 좀 보관을 해놓아야겠습니다^^;~

총 3개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요