내가 직접 의뢰받았던 경우 1:1 정도의 비율로 CCC : VVV였다. CCC의 경우도 VVV와 크게 다르지 않았는데 한 분의 경우는 특히 하게도 teslacrypt.py로 추출하는 공개키 값이 파일마다 각기 달랐다.
이 경우 해결 방법은 다음과 같다.
1. 각 암호화된 파일들을 teslacrypt.py로 돌린다.
보통 우리가 참고하는 위의 AES public key 값이 아닌 그 아래에 있는 Bitcoin key 값을 참고한다.
2. 모든 파일들의 Bitcoin key 값이 같을 것이다. 그렇다면 그 값을 소인수분해한다.
3. 소인수분해가 완료되면 다음 명령을 실행한다.
python unfactor.py <샘플파일> <소인수분해한값들>
4. "Found Bitcoin private key"라고 하며 비트코인 비밀키 값이 아래에 나온다. 작업 텍스트 파일에 잘 복사해둔다.
5. 위에서 소개한 TeslaDecoder이라는 툴을 다운로드한다:
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
6. TeslaDecoder를 실행한다.
1. http://drakor.blog.me/220585994910Viewer
2. http://drakor.blog.me/220587824042Viewer
3. http://drakor.blog.me/220591020297Viewer
4. http://drakor.blog.me/220593568494Viewer
더 근원적 자료인 googulator님의 글의 링크입니다.
https://github.com/Googulator/TeslaCrackViewer
필요한 도구는 첨부에 넣어 두었습니다.
랜섬웨어로 고생하시는 분들과 복구를 해주시는 분들에게 도움이 되었으면 합니다.
댓글 2개
게시글 목록
| 번호 | 제목 |
|---|---|
| 1400 | |
| 1398 | |
| 1392 | |
| 1391 | |
| 1389 | |
| 1386 | |
| 1383 | |
| 1382 | |
| 1380 | |
| 1377 | |
| 1376 | |
| 1370 | |
| 1359 | |
| 1356 | |
| 1352 | |
| 1339 | |
| 1331 | |
| 1321 | |
| 1318 | |
| 1308 | |
| 1302 | |
| 1296 | |
| 1295 | |
| 1292 | |
| 1289 | |
| 1282 | |
| 1270 | |
| 1266 | |
| 1260 | |
| 1255 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기