Sodinokibi 랜섬웨어

Sodinokibi Ransomware를 제거하는 방법-바이러스 제거 단계 (업데이트)



Sodinokibi 랜섬웨어 제거 지침

Sodinokibi는 무엇입니까?

발견 자 S! Ri , Sodinokibi (또는 또는 소딘 )는 사이버 범죄자가 만든 랜섬웨어 유형의 프로그램입니다. 그들은 그것을 사용하여 피해자의 컴퓨터에 저장된 파일을 암호화하고 사람들이 몸값을 지불 할 때까지 파일에 액세스하는 것을 방지합니다. 악성 코드 연구자들은 이것을 Sodinokibi라고 부르지 만 개발자들은 아직 공식적인 이름을 제공하지 않았습니다. 이 랜섬웨어는 암호화 된 파일이 포함 된 폴더에 랜섬 메시지를 저장합니다. 텍스트 파일의 이름은 암호화 된 파일에 추가 된 확장자에 따라 다릅니다. 예를 들어 확장자가 ' 686l0tek69 '(그리고 암호화 된 파일의 이름은' 1.jpg '~' 1.jpg.686l0tek69 '), 랜섬 메시지 파일 이름은' 686l0tek69-HOW-TO-DECRYPT.txt '. Sodinokibi도 배경 화면을 변경합니다.

랜섬 메시지는이 랜섬웨어에 감염된 컴퓨터를 가진 사람들이이를 개발 한 사이버 범죄자가 제공 한 지침에 따라 파일을 해독 (복구) 할 수 있다고 설명합니다. 데이터를 해독하려면 사용자는 제공된 두 링크 중 하나를 사용하여 웹 사이트를 방문해야합니다. 하나는 Tor 브라우저를 사용하여 열고 다른 하나는 Google Chrome, Mozilla Firefox, Opera, Internet Explorer 또는 Microsoft Edge와 같은 다른 브라우저로 열어야합니다. Tor 이외의 브라우저 용으로 생성 된 링크 / 웹 사이트는 브라우저에 의해 차단 될 수 있으므로 사용자에게 첫 번째 웹 사이트 링크를 사용하도록 권장합니다. 어떤 경우 든 웹 사이트가 열리면 사용자에게 랜섬 메시지 (.txt 파일)에 제공된 키를 복사하여 붙여넣고 확장자 이름 (동일한 텍스트 파일에 제공됨)을 입력하도록 요청합니다. 그런 다음 피해자에게 2 일 동안 $ 2500의 몸값을 지불 할 수 있음을 알리는 다른 페이지가 열립니다. 나중에 비용은 $ 5000로 두 배가됩니다. 몸값은 제공된 비트 코인 지갑 주소 (암호 화폐로 지불)로 전송되어야합니다. 사이버 범죄자들에 따르면, 지불이 이루어지면 피해자는 세 번의 확인을 받아야합니다. 그런 다음 암호 해독 도구에 대한 다운로드 링크를 만드는 웹 사이트를 다시로드합니다. 사이버 범죄자들에 따르면 피해자는 다른 (타사) 도구를 사용하여 파일을 해독하지 말아야합니다.이를 사용하면 영구적 인 데이터 손실이 발생할 수 있습니다. 그럼에도 불구하고이 랜섬웨어의 개발자에게 비용을 지불하지 마십시오. 일반적으로 사이버 범죄자는 몸값을받을 때까지만 협력합니다. 그 후 대부분은 피해자를 무시하고 암호 해독에 필요한 도구 / 키를 보내지 않습니다. 요약하면 사람들은 사기를 당합니다. 불행히도 Sodinokibi로 암호화 된 파일을 무료로 해독 할 수있는 도구는 없습니다. 특정 랜섬웨어 감염을 개발 한 사이버 범죄자 만이 암호 해독 도구를 제공 할 수 있습니다. 대개, 암호화 알고리즘 특정 암호 해독 키 / 도구를 사용하지 않고는 파일을 암호화하는 데 사용되는 '크랙'이 불가능합니다. 이러한 경우에 가장 좋은 방법은 백업을 사용하여 파일을 복원하는 것입니다 (모든 파일이 랜섬웨어 유형 프로그램으로 암호화되기 전에 생성 된 경우).

사용자가 자신의 손상된 데이터를 해독하기 위해 몸값을 지불하도록 권장하는 메시지의 스크린 샷 :

Sodinokibi 해독 지침

다른 랜섬웨어 유형 프로그램의 몇 가지 예는 다음과 같습니다. BellevueCollegeEncryptor , Hceem , 및 Hrosas . 대부분은 파일을 암호화하고 몸값을 지불하지 않는 한 파일을 잠그기 위해 만들어졌습니다. 차이점은 데이터를 암호화하는 데 사용되는 암호 해독 및 암호화 알고리즘 비용입니다. 안타깝게도 대부분의 경우 랜섬웨어가 완전히 개발되지 않고 버그 / 결함이 포함되어 있지 않으면 크래킹이 불가능합니다. 랜섬웨어로 인한 데이터 (및 재정적) 손실을 방지하려면 정기적 인 백업을 유지하고 원격 서버 또는 연결되지 않은 저장 장치에 저장하십시오.

랜섬웨어가 내 컴퓨터를 어떻게 감염 시켰습니까?

랜섬웨어 및 기타 악성 프로그램을 확산시키는 가장 일반적으로 사용되는 방법은 스팸 캠페인, 트로이 목마, 가짜 소프트웨어 업데이트 프로그램, 모호한 소프트웨어 다운로드 소스 및 소프트웨어 '크래킹'도구입니다. 스팸 캠페인에서 사이버 범죄자는 악성 첨부 파일이 포함 된 이메일을 보냅니다. 이들은 일반적으로 Microsoft Office 및 PDF 문서, ZIP, RAR 파일, JavaScript 파일, 실행 파일 (.exe 및 기타) 등과 같은 아카이브 인 첨부 파일을 열도록 사람들을 속이려는 공식적이고 중요한 시도로 이러한 이메일을 제시합니다. 열면 랜섬웨어 또는 기타 고위험 맬웨어를 다운로드하여 설치합니다. 트로이 목마가 이미 컴퓨터에 설치되어 있으면 다른 위협을 확산시킬 수 있습니다. 이 유형의 프로그램은 종종 연쇄 감염을 유발합니다. 가짜 소프트웨어 업데이터는 예상되는 업데이트 나 수정이 아닌 악성 소프트웨어를 확산 / 설치합니다. 이러한 도구는 오래된 소프트웨어 결함, 버그를 악용하는데도 사용할 수 있습니다. 신뢰할 수없는 다운로드 소스 (예 : 피어 투 피어 네트워크, 무료 파일 호스팅 웹 사이트, 프리웨어 다운로드 웹 사이트, 비공식 웹 사이트 및 기타 유사한 채널)는 랜섬웨어를 배포하는 데 사용됩니다. 사이버 범죄자는 이러한 채널을 사용하여 악성 코드를 무해한 파일로 표시합니다. 사람들이 다운로드하여 열면 악성 프로그램이 설치됩니다. 소프트웨어 '크래킹'도구를 사용하면 사람들은 종종 악성 프로그램을 설치할 위험이 있습니다. 이러한 도구는 유료 소프트웨어 활성화를 우회하는 것으로 추정되지만 종종 원치 않는 설치 및 컴퓨터 감염을 유발합니다.

위협 요약 :
이름 소 디노 키비 바이러스
위협 유형 랜섬웨어, 암호화 바이러스, 파일 보관함.
암호화 된 파일 확장자 임의의 문자열.
몸값을 요구하는 메시지 텍스트 파일, 바탕 화면 배경 무늬, 웹 사이트.
몸값 금액 2500 달러 / 5000 달러
사이버 범죄 연락처 웹 사이트 채팅.
탐지 이름 Avast (Win32 : Malware-gen), BitDefender (Trojan.GenericKD.31927370), ESET-NOD32 (Win32 / GenKryptik.DGSJ의 변형), Kaspersky (Exploit.Win32.Nekto.lr), 전체 탐지 목록 ( VirusTotal )
불량 프로세스 이름 Mcga Wmv 사진 보여주는 Ramsey 결혼
조짐 컴퓨터에 저장된 파일을 열 수 없습니다. 이전에 작동하던 파일은 이제 다른 확장자 (예 : my.docx.locked)를 갖습니다. 몸값 요구 메시지가 바탕 화면에 표시됩니다. 사이버 범죄자들은 ​​파일 잠금을 해제하기 위해 몸값 (일반적으로 비트 코인) 지불을 요구합니다.
배포 방법 감염된 이메일 첨부 파일 (매크로), 토렌트 웹 사이트, 악성 광고.
피해를 주다 모든 파일은 암호화되어 있으며 몸값을 지불하지 않고는 열 수 없습니다. 추가 암호 도용 트로이 목마 및 맬웨어 감염이 랜섬웨어 감염과 함께 설치 될 수 있습니다.
맬웨어 제거 (Windows)

가능한 맬웨어 감염을 제거하려면 합법적 인 바이러스 백신 소프트웨어로 컴퓨터를 검사하십시오. 보안 연구원은 Malwarebytes 사용을 권장합니다.
▼ Malwarebytes 다운로드
모든 기능을 갖춘 제품을 사용하려면 Malwarebytes에 대한 라이선스를 구입해야합니다. 14 일 무료 평가판을 사용할 수 있습니다.

랜섬웨어 감염으로부터 자신을 보호하는 방법은 무엇입니까?

알 수 없거나 의심스러운 주소에서받은 이메일의 첨부 파일을 열지 마십시오. 웹 링크에도 동일하게 적용됩니다. 이메일은 일반적으로 중요하고 합법적 인 것으로 표시되지만 대부분 관련성이 없습니다. 또한 소프트웨어를 다운로드 할 때 공식적이고 신뢰할 수있는 웹 사이트를 사용하고 공식 개발자가 제공하는 구현 된 기능 또는 도구를 사용하여 업데이트하십시오. 사람들이 소프트웨어 비용을 지불하지 않도록하는 도구는 불법이며 종종 컴퓨터 감염을 유발합니다. 컴퓨터 감염을 방지하려면 평판이 좋은 안티 바이러스 / 안티 스파이웨어 소프트웨어를 설치하고 활성화 상태로 유지하십시오. 컴퓨터가 이미 Sodinokibi에 감염된 경우 다음으로 검사를 실행하는 것이 좋습니다. Windows 용 Malwarebytes 이 랜섬웨어를 자동으로 제거합니다.

Sodinokibi 랜섬웨어 텍스트 파일 ( random-string-HOW-TO-DECRYPT.txt ) :

-=== 환영합니다. 다시. === ---

[+] 무슨 일입니까? [+]

파일이 암호화되어 현재 사용할 수 없습니다. 컴퓨터의 모든 파일에는 686l0tek69 확장이 있습니다.
그건 그렇고, 모든 것을 복구 (복원) 할 수 있지만 우리의 지침을 따라야합니다. 그렇지 않으면 데이터를 반환 할 수 없습니다 (절대).

[+] 무엇을 보장합니까? [+]

그것은 단지 사업입니다. 우리는 혜택을받는 것을 제외하고는 귀하와 귀하의 거래에 절대적으로 관심이 없습니다. 우리가 우리의 일과 책임을 다하지 않으면 아무도 우리와 협력하지 않을 것입니다. 그것은 우리의 이익이 아닙니다.
파일 반환 기능을 확인하려면 당사 웹 사이트로 이동해야합니다. 여기에서 하나의 파일을 무료로 해독 할 수 있습니다. 그것이 우리의 보증입니다.
귀하가 당사 서비스에 협조하지 않을 경우-당사에게는 중요하지 않습니다. 그러나 우리는 개인 키를 가지고 있기 때문에 시간과 데이터를 잃을 것입니다. 실제로 시간은 돈보다 훨씬 더 가치가 있습니다.

[+] 웹 사이트에 액세스하려면 어떻게해야합니까? [+]

두 가지 방법이 있습니다.

1) [권장] TOR 브라우저 사용!
a)이 사이트에서 TOR 브라우저를 다운로드하고 설치합니다 : hxxps : //torproject.org/
b) 웹 사이트를 엽니 다 : hxxp : //aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2) 해당 국가에서 TOR가 차단 된 경우 VPN을 사용해보십시오! 그러나 보조 웹 사이트를 사용할 수 있습니다. 이를 위해 :
a) 모든 브라우저 (Chrome, Firefox, Opera, IE, Edge)를 엽니 다.
b) 보조 웹 사이트를 엽니 다 : http://decryptor.top/913AED0B5FE1497D

경고 : 보조 웹 사이트를 차단할 수 있으므로 첫 번째 변형이 훨씬 더 좋고 더 많이 사용 가능합니다.

당사 웹 사이트를 열 때 입력 양식에 다음 데이터를 입력하십시오.
키:

-

확장명 :

686l0tek69

-------------------------------------------------- ---------------------------------------

!!! 위험 !!!
DONT는 직접 파일을 변경하려고 시도하고, DONT는 데이터 또는 바이러스 백신 솔루션을 복원하기 위해 타사 소프트웨어를 사용합니다. 개인 키가 손상 될 수 있으며 결과적으로 모든 데이터가 손실 될 수 있습니다.
!!! !!! !!!
한 번 더 : 파일을 되 찾는 것이 관심사입니다. 우리 쪽에서 우리 (최고의 전문가)는 복원을 위해 모든 것을 만들지 만 방해해서는 안됩니다.
!!! !!! !!!

Sodinokibi 웹 사이트 스크린 샷 (첫 페이지) :

sodinokibi 랜섬웨어 웹 사이트 첫 페이지

Sodinokibi 웹 사이트의 스크린 샷 (두 번째 페이지) :

sodinokibi 웹 사이트 두 번째 페이지

Tor로 연 웹 사이트에 표시되는 텍스트 (두 번째 페이지) :

컴퓨터가 감염되었습니다!
문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화 됨
파일의 암호를 해독하려면 당사의 특수 소프트웨어 인 686l0tek69-Decryptor를 구입해야합니다.
지금 당장 할 수 있습니다. 아래 지침을 따르십시오. 그러나 시간이 많지 않다는 것을 기억하십시오
686l0tek69-Decryptor 비용

2 일 23:59:17
* 정시에 지불하지 않으면 가격이 두 배가됩니다.
* 시간은 5 월 3 일 10:44:08에 종료됩니다.
현재 가격
시간이 끝나면
0.47528863 BTC
또는 2,500 USD
0.95057726 BTC
또는 5,000 USD

상태 : 686l0tek69-Decryptor를 다운로드 할 수 없습니다.

BTC 수신 주소 : 324VH5nPXCKCUGAMAn23nogm2Z6ph97evh
안내 채팅 지원
686l0tek69-Decryptor를 구입하는 방법?

비트 코인 지갑 생성 (Blockchain.info 권장)
필요한 양의 비트 코인을 구입하십시오. 현재 구매 가격은 0.47528863 BTC입니다.
0.47528863 btc를 다음 Bitcoin 주소로 보내십시오.
324VH5nPXCKCUGAMAn23nogm2Z6ph97evh

*이 수신 주소는 거래를 식별하기 위해 생성되었습니다.
3 번의 확인을 기다립니다.
현재 페이지를 새로 고침하고 686l0tek69-Decryptor를 다운로드 할 수있는 링크를 받으세요.

보증?

테스트 686l0tek69-Decryptor에 대한 파일을 업로드하십시오.

*이 파일은 암호화 된 이미지 여야합니다. 예

당신의 파일 이름 .jpg.686l0tek69
your-file-name.png.686l0tek69
your-file-name.gif.686l0tek69

Tor (GIF)로 열린 Sodinokibi 웹 사이트의 모습 :

sodinokibi 웹 외관

Sodinokibi 바탕 화면 배경 화면의 스크린 샷 :

Sodinokibi 바탕 화면

서비스 등록 누락 또는 손상된 Windows 10

Sodinokibi (임의 확장자)로 암호화 된 파일의 스크린 샷 :

Sodinokibi로 암호화 된 파일

스크린 샷Sodinokibi작업 관리자의 랜섬웨어 프로세스 ( ' Mcga Wmv 사진 보여주는 Ramsey 결혼 ')

작업 관리자의 sodinokibi 프로세스

랜섬웨어 이름에 대한 사이버 범죄자와의 채팅 스크린 샷 :

sodinokibi 채팅 창 1 sodinokibi 채팅 창 2

채팅 텍스트 :

연구원 토마스 : 어디 출신입니까?
연구원 토마스 : 랜섬웨어의 이름은 무엇입니까?
사이버 범죄자 : 이름도없고 여기에 쓰지 마세요.
연구원 토마스 : 연구원들은 이것을 '소 디노 키비'랜섬웨어라고 부르고 있습니다. 별로 좋은 이름이 아닙니다. 다른 이름을 사용하고 싶으신가요?
사이버 범죄자 : 보여주세요
연구원 토마스 : hxxps : //www.youtube.com/watch? v = MlfYEqAjXUE & feature = youtu.be
연구원 토마스 : '소 디노 키비'보다 더 멋진 이름을 생각할 수 있습니다.
사이버 범죄자 : 음, 왜이 이름 이요?
연구원 토마스 : 실행 파일 이름 (hxxps : //twitter.com/GrujaRS/status/1122051853657739265/photo/1)에서 가져온 것 같습니다.
연구원 토마스 : 어떤 이름을 사용 하시겠습니까?
사이버 범죄자 : 우리는 이름이 없지만 그것에 대해 생각할 수 있도록 며칠을 줘
연구원 토마스 : 좋습니다.

2019 년 5 월 3 일 업데이트 -연구에 따르면 사이버 범죄자들이 Oracle WebLogic Server 취약성 (CVE-2019-2725)을 악용하여 다음과 같은 악성 코드를 주입하기 시작했습니다. GANDCRAB , 소 디노 키비, 각종 광부 , 봇넷 등 다행스럽게도 오라클은 취약점을 수정하기위한 패치를 이미 출시했습니다. 따라서 이러한 유형의 서버를 소유하고 있다면 즉시 패치를 다운로드하여 설치하십시오. 패치에 대한 자세한 정보와 다운로드 링크를 찾을 수 있습니다. 이 기사에서 .

2019 년 7 월 11 일 업데이트 -사이버 범죄자들은 ​​최근 Windows 10 운영 체제의 서버 버전을 통해 Windows 7에서 Win32k 구성 요소의 취약성을 악용 할 수있는 Sodinokibi 랜섬웨어의 업데이트 된 변종을 출시했습니다. Sodinokibi는 취약점을 악용하여 권한을 향상시켜 시스템에 더 많은 손상을 줄 수 있습니다. 또한 Sodinokibi는 데이터를 손상시키기 위해 다중 암호화를 사용한다는 점을 언급해야합니다. 파일을 암호화 할뿐만 아니라 데이터를 복원하는 데 필요한 개인 키도 암호화됩니다. 즉, 복호화에는 두 개의 키가 필요합니다.

2019 년 9 월 3 일 업데이트 -사이버 범죄자들이 합법적 인 워드 프레스 웹 사이트를 탈취하여 Sodinokibi 랜섬웨어를 배포하기 시작했습니다. 그들은 일반적으로 실제 웹 사이트의 콘텐츠와 관련된 가짜 Q & A 포럼 게시물로 원본 웹 사이트의 콘텐츠를 변경하는 JavaScript로 합법적 인 사이트를 삽입합니다. 게시물에는 사이트 관리자의 가짜 답변이 포함되어 있으며 답변에는 Sodinokibi의 설치 설정에 대한 링크가 포함되어 있습니다.

2019 년 10 월 21 일 업데이트 -Sodinokibi 랜섬웨어에 의해 손상된 데이터를 무료로 복원 할 수있는 암호 해독 도구는 없지만 Emsisoft 및 Coveware 회사는 최근 일부 피해자가 데이터를 복원하는 데 도움이되는 해결 방법을 찾았습니다. 도움을 받으려면 피해자가 Emsisoft / Coveware의 기술자에게 직접 Twitter ( 뿡뿡 또는 @coveware ) 또는 이메일 (support@emsisoft.com 또는 Coveware 문의 양식 ).

업데이트 2019 년 12 월 27 일 -사기꾼은 최근 Sodinokibi 랜섬웨어의 또 다른 변종을 출시했습니다. 동작은 거의 동일합니다. 데이터를 암호화하고, 임의의 확장을 추가하고, 바탕 화면 배경 무늬를 변경하고, 몸값을 기록합니다. 가장 큰 차이점은 랜섬 노트의 텍스트로, 이제 피해자에게 '메리 크리스마스'를 기원합니다. 웹 사이트도 약간 업데이트됩니다.

업데이트 된 Sodinokibi의 몸값 노트 ( ' [random_string] -readme.txt ') :

Sodinokibi 랜섬웨어 텍스트 노트

이 파일에 표시되는 텍스트 :

--- === 환영합니다. === ---

메리 크리스마스, 해피 홀리데이 여러분!
당신은 새해를 맞이할 좋은 기회를 가지고 있으며, 나가는 해에 모든 나쁜 것을 남겨 둡니다.
가족과 함께 보낼 수있는 소중한 시간을 낭비하지 말고 가능한 한 빨리 저희에게 편지를 보내시기 바랍니다.
우리의 암호 해독기 복구를 사용하면 최소한의 시간이 걸리며, 우리가 없으면 매우 힘든 시간을 보내고 일부 파일은 절대로 복구되지 않습니다.
더 오래 생각할수록 우리가 귀하와 협상하기가 더 어려워집니다.
채팅에서 대화를 기다리는 동안 아래에서 무슨 일이 일어 났는지 알 수 있습니다.

[+] 무슨 일입니까? [+]

파일이 암호화되어 현재 사용할 수 없습니다. 이를 확인할 수 있습니다. 시스템의 모든 파일에는 szz25513j 확장자가 있습니다.
그건 그렇고, 모든 것을 복구 (복원) 할 수 있지만 우리의 지침을 따라야합니다. 그렇지 않으면 데이터를 반환 할 수 없습니다 (절대).

[+] 무엇을 보장합니까? [+]

그것은 단지 사업입니다. 우리는 혜택을받는 것을 제외하고는 귀하와 귀하의 거래에 절대적으로 관심이 없습니다. 우리가 우리의 일과 책임을 다하지 않으면 아무도 우리와 협력하지 않을 것입니다. 그것은 우리의 이익이 아닙니다.
파일 반환 기능을 확인하려면 당사 웹 사이트로 이동해야합니다. 여기에서 하나의 파일을 무료로 해독 할 수 있습니다. 그것이 우리의 보증입니다.
귀하가 당사 서비스에 협조하지 않을 경우-당사에게는 중요하지 않습니다. 그러나 우리는 개인 키를 가지고 있기 때문에 시간과 데이터를 잃을 것입니다. 실제로 시간은 돈보다 훨씬 더 가치가 있습니다.

[+] 웹 사이트에 액세스하려면 어떻게해야합니까? [+]

두 가지 방법이 있습니다.

1) [권장] TOR 브라우저 사용!
a)이 사이트에서 TOR 브라우저를 다운로드하고 설치합니다 : hxxps : //torproject.org/
b) 웹 사이트를 엽니 다 : hxxp : // aplebzu47wgazapdqks6vrcv6zcnjp pkbxbr6wketf56nf6aq2nmyoyd. 양파 / 6E0FCE541E857D00

2) 해당 국가에서 TOR가 차단 된 경우 VPN을 사용해보십시오! 그러나 보조 웹 사이트를 사용할 수 있습니다. 이를 위해 :
a) 모든 브라우저 (Chrome, Firefox, Opera, IE, Edge)를 엽니 다.
b) 보조 웹 사이트를 엽니 다 : hxxp : //decryptor.top/6E0FCE541E857D00

경고 : 보조 웹 사이트를 차단할 수 있으므로 첫 번째 변형이 훨씬 더 좋고 더 많이 사용 가능합니다.

당사 웹 사이트를 열 때 입력 양식에 다음 데이터를 입력하십시오.
키:

-


확장명 :

-

-
!!! 위험 !!!
DONT는 직접 파일을 변경하려고 시도하고, DONT는 데이터 또는 바이러스 백신 솔루션을 복원하기 위해 타사 소프트웨어를 사용합니다. 개인 키가 손상 될 수 있으며 결과적으로 모든 데이터가 손실 될 수 있습니다.
!!! !!! !!!
한 번 더 : 파일을 되 찾는 것이 관심사입니다. 우리 쪽에서 우리 (최고의 전문가)는 복원을 위해 모든 것을 만들지 만 방해해서는 안됩니다.
!!! !!! !!!

Google의 경우 : Revil / Sodinokibi

바탕 화면 배경 화면의 스크린 샷 :

Sodinokibi 랜섬웨어 바탕 화면 배경 무늬

이 이미지에 표시된 텍스트 :

모든 파일이 암호화됩니다!

[random_string] -readme.txt를 찾아 지침을 따르십시오.

이 Sodinokibi 변종 (임의 확장자)으로 암호화 된 파일의 스크린 샷 :

Sodinokibi 랜섬웨어 암호화 파일

Tor 네트워크의 최신 Sodinokibi 웹 사이트 (결제 / 복호화 지침 제공) 스크린 샷 :

Sodinokibi ransomware Tor 웹 사이트

이 웹 사이트에 표시되는 텍스트 ( ' 명령 ' 탭):

컴퓨터가 감염되었습니다!
문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화 됨
파일 암호를 해독하려면 당사의 특수 소프트웨어 인 zog3i49-Decryptor를 구입해야합니다.
지금 당장 할 수 있습니다. 아래 지침을 따르십시오. 그러나 시간이 많지 않다는 것을 기억하십시오
zog3i49-Decryptor 가격
시간이 끝났습니다
* 정시에 지불하지 않았고 가격이 두 배가되었습니다.
현재 가격
0.36018031 BTC
또는 $ 2,600
* BTC는 실제 환율로 1 시간 내에 재 계산됩니다.

비트 코인 주소 : 36ee3WeL8ofVCsuHw4ZMUYJ72xLFaR6RDg
지침 채팅 지원 회사 소개
파일을 해독하는 방법?

파일을 직접 해독 할 수 없습니다. 시도하면 파일이 영원히 손실됩니다.

파일을 해독하려면 당사의 특수 소프트웨어 인 zog3i49-Decryptor를 구입해야합니다.

* 보증이 필요한 경우 아래의 평가판 암호 해독을 사용하십시오.
zog3i49-Decryptor를 구입하는 방법?

비트 코인 지갑 생성 (Blockchain.info 권장)
필요한 양의 비트 코인을 구입하십시오. 현재 구매 가격은 0.36018031 BTC입니다.
0.36018031 BTC를 다음 Bitcoin 주소로 보내십시오.
36ee3WeL8ofVCsuHw4ZMUYJ72xLFaR6RDg

*이 수신 주소는 거래를 식별하기 위해 생성되었습니다.
블록 체인에서 3 번의 확인을 기다리세요
현재 페이지를 새로 고침하고 zog3i49-Decryptor를 다운로드 할 수있는 링크를 받으세요.

시험 복호화

zog3i49-Decryptor가 작동하는지 확인하기 위해 평가판 암호 해독을 위해 이미지 파일을 업로드하십시오.

*이 파일은 암호화 된 이미지 여야합니다. 예:

your-image.jpg.zog3i49
your-image.png.zog3i49
your-image.gif.zog3i49

이 웹 사이트에 표시되는 텍스트 ( ' 우리에 대해 ' 탭):

Sodinokibi

우리에 대해 이미 알고있을 것입니다. 많은 출판물에서 우리를 소 디노 키비라고 부릅니다.

읽어 보셨다면 랜섬웨어의 기술과 안정성이 다르다는 것을 알고 계실 것입니다.

우리는 오늘날 사용 가능한 최고의 데이터 암호화 및 암호 해독 시스템을 개발했습니다.

경쟁 업체는 암호화 또는 복호화 프로세스 중에 피해자의 데이터를 잃어 버리거나 파괴 할 수 있으므로 데이터를 복구 할 수 없습니다.

우리는 그렇게하는 것을 허용하지 않습니다.

따라서 경쟁자가 아닌 우리 직원들에게 감염된 것을 기뻐해야합니다. 즉, 복호화 비용을 지불하면 모든 데이터가 복호화된다는 것을 확신 할 수 있습니다.
보증?

우리에 대한 출판물을 읽을 수 있습니다. 예를 들면 다음과 같습니다.
hxxps : //www.coveware.com/blog/2019/7/15/ ransomware-amounts-rise-3x-in-q2-as-ryuk-amp-sodinokibi-spread

이 에디션은 랜섬웨어를 탐색하고 비교합니다. 이 기사에서는 Sodinokibi 소프트웨어를 통한 데이터 복구의 100 % 확률에 대해 설명합니다.

인터넷에서 우리에 대한 다른 출판물을 검색하고 다시 한번 우리의 보증을 확인할 수 있습니다.

또는 시간을 낭비하지 않으려면 지금 결제 지침 페이지로 이동하여 암호 해독 소프트웨어를 받으십시오.

시간은 돈이다.

업데이트 2020 년 1 월 23 일 -Sodinokibi 랜섬웨어의 개발자는 새로운 전술을 사용하기 시작했습니다. 피해자가 데이터를 게시하도록 위협하는 것입니다. 데이터는 암호화 될뿐만 아니라 도난당한 것으로 보입니다. Sodinokibi의 개발자들은 데이터를 암호화하기 전에 복사본을 만들었다 고 주장하며 지금은 몸값을 지불하지 않으면 공개하겠다고 위협합니다. 이 전술은 랜섬웨어 개발자들 사이에서 점점 더 많은 인기를 얻고 있습니다. 이는 지불 가능성을 높이기 때문입니다. 가정 사용자는 이미지, 비디오 및 기타 유사한 데이터를 잃어 버릴 수 있지만 모든 데이터를 공개적으로 액세스 할 수 있도록하는 사람은 완전히 다릅니다. 특히 기업의 경우-현재 Sodinokibi의 개발자가 훔친 정보를 공개하겠다고 위협하고 있습니다. Gedia 자동차 그룹 , 4300 명 이상의 직원이있는 매우 거대한 회사입니다. 사기꾼은 직원, 고객 등의 기록을 포함하는 50GB 이상의 데이터를 훔쳤습니다. 이러한 개인 데이터를 유출하면 회사에 심각한 피해를 입힐 수 있습니다. 자세한 내용은 BleepingComputer에있는 Sergiu Gatlan의 기사 .

업데이트 2020 년 3 월 20 일 -사기꾼은 최근 Sodinokibi 랜섬웨어의 또 다른 변종을 출시했습니다. 동작은 거의 동일합니다. 암호화 된 파일의 이름에 임의의 문자열이 추가되고 바탕 화면 배경 무늬가 변경되고 몸값 메모가 삭제됩니다. 차이점은 몸값 노트와 바탕 화면 배경 무늬의 텍스트입니다.

이 Sodinokibi 랜섬웨어의 랜섬 노트 스크린 샷 ( '[random_string] -HELP-NEED.txt') :

Sodinokibi 랜섬웨어 텍스트 파일 ([random_string] -NEED-HELP.txt)

이 파일에 표시되는 텍스트 :

죄송합니다. 시스템의 심각한 오류로 인해 파일이 잠겼습니다. 파일 확장자는 이제 'mjua6530p'입니다. 파일을 해독하고 싶다면 영원히 잃게됩니다.

당신은 당신의 파일 디코더를 지불해야합니다. 시간을 들이지 마십시오. 지불해야 할 일이 몇 일이 있습니다. 그렇지 않으면 디코더 비용이 두 배가됩니다. 방법은 다음과 같습니다.

직접 할 수없는 경우 인터넷에서 해당 국가 또는 도시의 파일 복구 서비스를 검색하십시오.

브라우저를 통해 페이지로 이동 : hxxp : //decryptor.cc/00F5BC601E857D00
사이트가 열리지 않으면 TOR 브라우저 (hxxps : //torproject.org/)를 다운로드하십시오. TOR 브라우저의 다운로드 페이지에 액세스 할 수없는 경우 VPN을 다운로드하십시오!
컴퓨터에 TOR 브라우저를 설치 한 후 다음 사이트로 이동하십시오. hxxp : //aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/00F5BC601E857D00

이 Sodinokibi 랜섬웨어 바탕 화면의 스크린 샷 :

Realtek HD 오디오를 다시 설치하는 방법

Sodinokibi 랜섬웨어 바탕 화면 배경 무늬

이 이미지에 표시된 텍스트 :

... 모든 파일이 차단되어 곧 손실 될 수 있습니다 ...

폴더 나 데스크탑에서 [random_string] -HELP-NEED.txt를 긴급하게 찾으십시오!

며칠 남지 않으면 파일이 영원히 손실됩니다!

이 Sodinokibi 변종 (임의 확장자)으로 암호화 된 파일의 스크린 샷 :

Sodinokibi 랜섬웨어 암호화 파일

이 Sodinokibi 변종의 Tor 웹 사이트의 모습 :

Sodinokibi 랜섬웨어 웹 사이트 외관

이 사이트에 표시되는 텍스트 :

메인 페이지:


컴퓨터가 감염되었습니다!
문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화 됨
파일의 암호를 해독하려면 특별한 소프트웨어 인 mjua6530p-Decryptor를 구입해야합니다.
지금 당장 할 수 있습니다. 아래 지침을 따르십시오. 그러나 시간이 많지 않다는 것을 기억하십시오
mjua6530p-Decryptor 가격
4 일 23:59:00
* 정시에 지불하지 않으면 가격이 두 배가됩니다.
* 시간은 3 월 25 일 13:42:08에 종료됩니다.
현재 가격 33.34075745 XMR ≈ 1,495 USD
시간 종료 후 66.6815149 XMR ≈ 2,990 USD
* XMR은 실제 요금으로 5 시간 내에 재 계산됩니다.
통화 주소 :
87mqGPJYCzKReE8sgDUgFmFcyGHFTp9rBUVy5 oRw3W2KfLhnj9oPDH5XGVw4Qjf7jajLkrg6EZPo6HBUrqST25ckNyb6z3q
지침 채팅 지원 회사 소개
결제 방법 Monero Bitcoin (+ 10 %)
파일을 해독하는 방법?

파일을 직접 해독 할 수 없습니다. 시도하면 파일이 영원히 손실됩니다.

파일을 해독하려면 특별한 소프트웨어 인 mjua6530p-Decryptor를 구입해야합니다.

* 보증이 필요한 경우 아래의 평가판 암호 해독을 사용하십시오.
mjua6530p-Decryptor를 구입하는 방법?

필요한 양의 XMR (Monero) 구매 : 33.34075745 XMR

XMR 구매에 문제가있는 경우 BTC (Bitcoin)를 구매하여 XMR로 교환 할 수 있습니다. 페이지의«XMR 용 BTC 교환»을 참조하십시오.
또한 결제 방법을 변경할 수 있습니다
33.34075745 XMR을 다음 Monero 주소로 보냅니다.
87mqGPJYCzKReE8sgDUgFmFcyGHFTp9rBUVy5oRw3W 2KfLhnj9oPDH5XGVw4Qjf7jajLkrg6EZPo6HBUrqST25ckNyb6z3q

*이 수신 주소는 거래를 식별하기 위해 생성되었습니다.
블록 체인으로 10 개의 확인을 기다리십시오.
현재 페이지를 새로 고침하고 mjua6530p-Decryptor를 다운로드 할 수있는 링크를받습니다.

시험 복호화

평가판 암호 해독을 위해 이미지 파일을 업로드하여 mjua6530p-Decryptor가 작동하는지 확인하십시오.

*이 파일은 암호화 된 이미지 여야합니다. 예:

은행에서 XMR 구매

현금 또는 온라인으로 현지에서 XMR 구매

비트 코인 구매 및 XMR 거래

XMR로 교환하는 데 필요한 BTC를 구입할 수있는 기타 서비스 :

BTC를 XMR로 교환

인도 또는 한국에서 XMR 구매


'ABOUT US'탭 :


Sodinokibi

우리에 대해 이미 알고있을 것입니다. 많은 출판물에서 우리를 소 디노 키비라고 부릅니다.

읽어 보셨다면 랜섬웨어의 기술과 안정성이 다르다는 것을 알고 계실 것입니다.

우리는 오늘날 사용 가능한 최고의 데이터 암호화 및 암호 해독 시스템을 개발했습니다.

경쟁 업체는 암호화 또는 복호화 프로세스 중에 피해자의 데이터를 잃어 버리거나 파괴 할 수 있으므로 데이터를 복구 할 수 없습니다.

우리는 그렇게하는 것을 허용하지 않습니다.

따라서 경쟁자가 아닌 우리 직원들에게 감염된 것을 기뻐해야합니다. 즉, 복호화 비용을 지불하면 모든 데이터가 복호화된다는 것을 확신 할 수 있습니다.
보증?

우리에 대한 출판물을 읽을 수 있습니다. 예를 들면 다음과 같습니다.
hxxps : //www.coveware.com/blog/2019/7/15/ransomware-amounts-rise-3x-in-q2-as-ryuk-amp-sodinokibi-spread

이 에디션은 랜섬웨어를 탐색하고 비교합니다. 이 기사에서는 Sodinokibi 소프트웨어를 통한 데이터 복구의 100 % 확률에 대해 설명합니다.

관리자가 이 앱을 실행하지 못하도록 차단했습니다. mmc.exe

인터넷에서 우리에 대한 다른 출판물을 검색하고 다시 한번 우리의 보증을 확인할 수 있습니다.

또는 시간을 낭비하지 않으려면 지금 결제 지침 페이지로 이동하여 암호 해독 소프트웨어를 받으십시오.

시간은 돈이다.

2020 년 4 월 20 일 업데이트 -사기꾼은 최근 Sodinokibi 랜섬웨어의 또 다른 변종을 출시했습니다. 대부분의 동작은 정확히 동일합니다. 임의 확장을 추가하고 바탕 화면 배경 무늬와 똑같은 이미지를 설정하며 동일한 Tor 네트워크 웹 사이트를 홍보합니다. 그러나 텍스트 파일 ( ' readme. [random_string] .txt ') 은 다르다:

Sodinokibi 랜섬웨어 업데이트 텍스트 파일 (2020 년 4 월 20 일)

표시되는 텍스트 :

'-'확장자에 의한 시스템의 취약성으로 인해 파일이 잠겨 있습니다.
최악의 경우 데이터를 되돌릴 수 없게 파괴 할 수 있으므로 파일을 직접 해독 할 수 없습니다. 데이터를 잠금 해제하는 유일한 방법은 암호 해독 프로그램을 구입하는 것입니다.
자세한 내용은 아래 링크로 이동하십시오.

직접 할 수 없다면 인터넷에서 데이터 복구 회사를 찾으십시오.
우리에게만 암호 해독 키가 있기 때문에 데이터 잠금을 해제하는 데 도움이되지 않지만 결제를 돕고 보증을 제공합니다.

또한 금방 지불하지 않으면 암호 해독기 가격이 두 배가 될 것입니다. 그러니 시간을 낭비하지 말고 움직 이길 권한다!

브라우저를 통해 페이지로 이동하십시오.

hxxt : //decryptor.cc/00F5BC601E857D00

사이트가 열리지 않으면 TOR 브라우저 (hxxps : //torproject.org/)를 다운로드하십시오.
TOR 브라우저의 다운로드 페이지에 액세스 할 수없는 경우 VPN을 다운로드하십시오!

컴퓨터에 TOR 브라우저를 설치 한 후 다음 사이트로 이동하십시오.

hxxp : //aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/00F5BC601E857D00

사이트로 이동 한 후 다음 코드를 입력하십시오.

-

또 다른 Sodinokibi 랜섬웨어의 텍스트 파일 :

Sodinokibi 랜섬웨어 텍스트 파일 (2020-05-08)

표시되는 텍스트 :

'-'확장자에 의한 시스템의 취약성으로 인해 파일이 잠겨 있습니다.
최악의 경우 데이터를 되돌릴 수 없게 파괴 할 수 있으므로 파일을 직접 해독 할 수 없습니다.
데이터를 잠금 해제하는 유일한 방법은 암호 해독 프로그램을 구입하는 것입니다.
자세한 내용은 아래 링크로 이동하십시오.

직접 할 수 없다면 인터넷에서 데이터 복구 회사를 찾으십시오.
우리에게만 암호 해독 키가 있기 때문에 데이터 잠금을 해제하는 데 도움을 줄 수는 없지만 결제를 돕고 보증을 제공합니다.

주의! 데이터 복구 기관은 CORONOVIRUS 검역 기간 동안 작업하고 원격으로 도움을 줄 것입니다.

또한 금방 지불하지 않으면 암호 해독기 가격이 두 배가 될 것입니다. 그래서 시간을 낭비하지 말고 이동하는 것이 좋습니다!

브라우저를 통해 페이지로 이동하십시오.

hxxp : //decryptor.cc/00F5BC601E857D00

사이트가 열리지 않으면 'TOR 브라우저'(hxxps : //torproject.org/)를 다운로드하십시오.
'TOR 브라우저'의 다운로드 페이지에 액세스 할 수없는 경우 VPN을 다운로드하십시오!

'TOR 브라우저'를 설치 한 후 열고 링크를 따라 가십시오.

hxxp : //aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/00F5BC601E857D00

사이트로 이동 한 후 다음 코드를 입력하십시오.

-

Sodinokibi 랜섬웨어의 또 다른 변종 바탕 화면 :

Sodinokibi 랜섬웨어 바탕 화면 배경 무늬 (2020-05-20)

표시되는 텍스트 :

모든 파일이 암호화됩니다!
*****-readme.txt를 찾아 지침을 따르십시오.
최종 가격은 귀하가 저희에게 얼마나 빨리 작성 하느냐에 따라 다릅니다.
우리는 또한 귀하의 민감한 데이터를 수집했습니다.
지불을 거부 할 경우 공유합니다.

2020 년 5 월 20 일 업데이트 -사이버 범죄자들은 ​​최근 다른 프로세스 / 애플리케이션에 의해 열려 있고 잠긴 데이터를 암호화 할 수있는 업데이트 된 버전의 Sodinokibi 랜섬웨어를 출시했습니다 (파일은 일반적으로 보안을 위해 잠겨 있습니다. 여러 애플리케이션이 동시에 같은 파일에 쓸 수 있음) 부패). 잠금을 제거하려면 Sodinokibi가 잠금 프로세스를 종료하고 암호화를 진행합니다. 또한 Sodinokibi 랜섬웨어 개발자가 Grubman Shire Meiselas & Sacks (GSMLaw)라는 거대한 엔터테인먼트 및 법률 회사에서 도난당한 데이터를 유출하겠다고 위협하고 있음을 언급 할 가치가 있습니다. 사이버 범죄자들에 따르면 데이터에는 다양한 개인 / 법률 문서와 개인 정보 (예 : 계약, 비공개 계약, 개인 서신, 전화 번호 등)가 포함됩니다. 회사는 Madonna, Elton John과 같은 다양한 거대 스타를 대표합니다. , Robert De Niro 및 기타. 따라서 이러한 데이터는 특정 사람들에게 매우 흥미로워 보일 수 있습니다. 데이터 유출에 대한 자세한 내용은 Bleeping Computer에 게시 된 Ionut Ilascu의 기사 .

업데이트 2020 년 6 월 18 일 -이전 업데이트에서 언급했듯이 Sodinokibi의 개발자는 Grugman Shire Meiselas & Sacks (GSMLaw) 회사의 데이터를 훔치고 다양한 유명인의 개인 정보에 액세스 할 수있었습니다. 그들은 또한 몸값을 지불하지 않으면 데이터를 유출하겠다고 위협했습니다. 음, 누출이 시작되었습니다. 사이버 범죄자들은 ​​훔친 데이터를 경매에서 판매하고 있습니다. 그들은 현재 미국 대통령 도널드 트럼프에 대한 정보를 이미 판매했으며 마돈나의 정보가 다음 판매 될 것이라고 주장합니다. 흥미로운 점은이 사람들이이 정보에 대해 수십만 달러를 요구하고 있다는 것입니다 (D. Trump의 개인 데이터의 시작 가격은 약 $ 1.000.000). 이 강탈에 대한 자세한 내용은 우리의 뉴스 기사 .

Sodinokibi 변종의 또 다른 변종 (LV 랜섬웨어라고 함)에서 제공하는 웹 사이트 :

Sodinokibi 랜섬웨어 변종 웹 사이트

이 사이트에 표시되는 텍스트 :

귀하의 시스템은
LV에 의해 침투

회사 문서, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다.

기밀 문서, 개인 데이터 및 민감한 정보가 다운로드되었습니다.

다운로드 한 모든 정보가 게시되고 지불하지 않으면 다크 넷에 판매됩니다.
2 일 23:57:42
가격 $ 500,000

제때 지불하지 않으면 다운로드 된 모든 정보가 자동으로 게시됩니다.
저널리스트 및 데이터 보호 권한은 개인 데이터 유출에 대해 통지됩니다.
몇 가지 증거 확인
다운로드 한 파일의 여러 스크린 샷

청구 정보, 카드 번호, 로그인 및 비밀번호, 계약서, 재무 보고서 고객, 직원, 공급 업체의 개인 정보 및 재무 기록을 포함한 귀사의 개인 정보. 기타 많은 민감한 정보-우리의 소유
그것은 단지 사업 일뿐입니다
어쨌든 우리는 귀하 또는 다크 넷으로부터 돈을받을 것입니다.
지불하지 않는 경우
-_ 절대로 파일을 해독하지 않습니다.
-_ 귀하의 기밀 데이터와 가장 중요한 정보, 귀하의 고객 및 직원의 개인 데이터는 DARKNET에 게시되고 매진됩니다.
-_ 고객, 직원, 파트너는 데이터 유출을 방지하지 않았다는 이메일을 통해 통지를받습니다. 그들의 개인 데이터를 판매했다는 사실
-_ 언론인, 데이터 보호 당국은 개인 데이터 유출 및 법률 위반에 대해 인식합니다 (기록 당 벌금 포함).
-_ 당신은 많은 시간과 데이터, 명성과 돈과 고객을 잃게 될 것입니다. 그리고 소비자 데이터 보호 의무를 충족하지 않은 이유가 될 것입니다!
정시에 지불하는 경우
+ _ 모든 암호화 된 파일과 데이터를 몇 분 안에 복원합니다.
+ _ 소비자 데이터 보호 의무를 준수하지 않은 뉴스 기사를 예방합니다. 신뢰할 수있는 평판을 구할 수 있습니다.
+ _ 회사의 민감한 정보 공개 및 향후 익스플로잇을 위해 다크 넷에서 매진되는 것을 피할 수 있습니다.
+ _ 주 규제 당국의 문제를 예방하고 위반 및 심지어 법원에 대한 처벌 및 처벌을 피할 수 있습니다.
+ _ 디스크에서 모든 데이터를 완전하고 영구적으로 삭제합니다
+ _ 신뢰할 수있는 회사로 계속 일하고 모든 것이 잘 될 것입니다.
우리의 보증

하나의 파일을 무료로 해독 할 수 있습니다. 귀하의 파일이 당사의 복호화기에 의해 복호화되고 복원 될 수 있다는 것이 당사의 보증입니다. 시도 해봐
확장자 및 크기가 1MB 미만인 모든 파일의 암호 해독
파일 선택

위험!!!
파일을 수정, 이름 변경, 복사 또는 이동하지 마십시오! 이런 식으로 손상을 입히고 암호 해독이 불가능합니다. 시스템을 종료하거나 재설정하지 마십시오! 타사 또는 공용 암호 해독 소프트웨어 또는 바이러스 백신 솔루션을 사용하여 파일을 복원하지 마십시오! 파일 손실이 수반됩니다. 그러나 민감한 데이터 게시를 거부하지 않습니다!
라이브 채팅
몇 시간 안에 답변 할 수 있다는 점을 고려하십시오. 하지만 우리는
안녕하세요! 모든 질문에 기꺼이 답변 해 드리겠습니다!

Sodinokibi 랜섬웨어 제거 :

즉각적인 자동 악성 코드 제거 : 수동 위협 제거는 고급 컴퓨터 기술이 필요한 길고 복잡한 프로세스 일 수 있습니다. Malwarebytes는 맬웨어 제거에 권장되는 전문적인 자동 맬웨어 제거 도구입니다. 아래 버튼을 클릭하여 다운로드하십시오.
▼ 다운로드 Malwarebytes 이 웹 사이트에 나열된 소프트웨어를 다운로드하면 개인 정보 정책 과 이용 약관 . 모든 기능을 갖춘 제품을 사용하려면 Malwarebytes에 대한 라이선스를 구입해야합니다. 14 일 무료 평가판을 사용할 수 있습니다.

빠른 메뉴 :

당국에 랜섬웨어보고 :

랜섬웨어 공격의 피해자 인 경우이 사건을 당국에보고하는 것이 좋습니다. 법 집행 기관에 정보를 제공함으로써 사이버 범죄를 추적하고 잠재적으로 공격자의 기소를 지원할 수 있습니다. 다음은 랜섬웨어 공격을보고해야하는 기관 목록입니다. 로컬 사이버 보안 센터의 전체 목록과 랜섬웨어 공격을보고해야하는 이유에 대한 정보는 이 기사를 읽으십시오 .

랜섬웨어 공격을보고해야하는 지역 당국 목록 (거주지 주소에 따라 선택) :

감염된 장치 격리 :

일부 랜섬웨어 유형 감염은 외부 저장 장치 내의 파일을 암호화하고 감염시키고 전체 로컬 네트워크에 퍼지도록 설계되었습니다. 따라서 가능한 한 빨리 감염된 장치 (컴퓨터)를 격리하는 것이 매우 중요합니다.

1 단계: 인터넷 연결을 끊습니다.

인터넷에서 컴퓨터를 분리하는 가장 쉬운 방법은 마더 보드에서 이더넷 케이블을 분리하는 것입니다. 그러나 일부 장치는 무선 네트워크를 통해 연결되어 있으며 일부 사용자 (특히 기술에 익숙하지 않은 사용자)의 경우 케이블 분리가 보일 수 있습니다. 귀찮은. 따라서 제어판을 통해 수동으로 시스템 연결을 끊을 수도 있습니다.

'로 이동 제어판 ', 화면 오른쪽 상단의 검색 창을 클릭하고' 네트워크 및 공유 센터 '및 검색 결과 선택 : 랜섬웨어 유형 감염 식별 (1 단계)

' 어댑터 설정 변경 '창의 왼쪽 상단 모서리에있는 옵션 : 랜섬웨어 유형 감염 식별 (2 단계)

각 연결 지점을 마우스 오른쪽 버튼으로 클릭하고 ' 비활성화 '. 비활성화되면 시스템이 더 이상 인터넷에 연결되지 않습니다. 연결 지점을 다시 활성화하려면 다시 마우스 오른쪽 버튼을 클릭하고 ' 활성화 '. 랜섬웨어 유형 감염 식별 (3 단계)

2 단계: 모든 저장 장치를 분리합니다.

위에서 언급했듯이 랜섬웨어는 데이터를 암호화하고 컴퓨터에 연결된 모든 저장 장치에 침투 할 수 있습니다. 이러한 이유로 모든 외부 저장 장치 (플래시 드라이브, 휴대용 하드 드라이브 등)는 즉시 분리해야하지만 데이터 손상을 방지하려면 분리하기 전에 각 장치를 꺼내는 것이 좋습니다.

로 이동 ' 내 컴퓨터 ', 연결된 각 장치를 마우스 오른쪽 버튼으로 클릭하고' 꺼내기 ': 랜섬웨어 유형 감염 식별 (4 단계)

3 단계 : 클라우드 스토리지 계정에서 로그 아웃합니다.

일부 랜섬웨어 유형은 '에 저장된 데이터를 처리하는 소프트웨어를 탈취 할 수 있습니다. 구름 '. 따라서 데이터가 손상 / 암호화 될 수 있습니다. 이러한 이유로 브라우저 및 기타 관련 소프트웨어 내의 모든 클라우드 스토리지 계정에서 로그 아웃해야합니다. 또한 감염이 완전히 제거 될 때까지 클라우드 관리 소프트웨어를 일시적으로 제거하는 것도 고려해야합니다.

랜섬웨어 감염 확인 :

감염을 제대로 처리하려면 먼저 감염을 식별해야합니다. 일부 랜섬웨어 감염은 랜섬 요구 메시지를 소개로 사용합니다 (아래 WALDO 랜섬웨어 텍스트 파일 참조).

랜섬웨어 유형 감염 식별 (5 단계)

그러나 이것은 드뭅니다. 대부분의 경우 랜섬웨어 감염은 단순히 데이터가 암호화되어 있으며 피해자는 일종의 몸값을 지불해야한다는 직접적인 메시지를 더 많이 전달합니다. 랜섬웨어 유형 감염은 일반적으로 다른 파일 이름 (예 : ' _readme.txt ',' READ-ME.txt ',' DECRYPTION_INSTRUCTIONS.txt ',' DECRYPT_FILES.html '등). 따라서 몸값 메시지의 이름을 사용하는 것이 감염을 식별하는 좋은 방법처럼 보일 수 있습니다. 문제는 전달 된 메시지가 다르고 감염 자체가 관련이 없더라도 이러한 이름의 대부분이 일반적이고 일부 감염은 동일한 이름을 사용한다는 것입니다. 따라서 메시지 파일 이름 만 사용하는 것은 비효율적 일 수 있으며 영구적 인 데이터 손실로 이어질 수도 있습니다 (예를 들어, 다른 랜섬웨어 감염을 위해 설계된 도구를 사용하여 데이터를 해독하려고 시도하면 사용자가 파일을 영구적으로 손상시킬 수 있으며 해독이 더 이상 가능하지 않게됩니다. 올바른 도구로도).

랜섬웨어 감염을 식별하는 또 다른 방법은 암호화 된 각 파일에 추가 된 파일 확장자를 확인하는 것입니다. 랜섬웨어 감염은 종종 그들이 추가하는 확장자에 의해 이름이 지정됩니다 (아래 Qewe 랜섬웨어로 암호화 된 파일 참조).

nomoreransom.org 웹 사이트에서 랜섬웨어 복호화 도구 검색

그러나이 방법은 추가 된 확장자가 고유 한 경우에만 효과적입니다. 많은 랜섬웨어 감염은 일반 확장자를 추가합니다 (예 : ' .encrypted ',' .enc ',' .crypted ',' .locked '등). 이 경우 추가 된 확장자로 랜섬웨어를 식별하는 것은 불가능합니다.

랜섬웨어 감염을 식별하는 가장 쉽고 빠른 방법 중 하나는 ID 랜섬웨어 웹 사이트 . 이 서비스는 대부분의 기존 랜섬웨어 감염을 지원합니다. 피해자는 단순히 몸값 메시지 및 / 또는 암호화 된 파일 하나를 업로드합니다 (가능하면 둘 다 업로드하는 것이 좋습니다).

Recuva 데이터 복구 도구 마법사

랜섬웨어는 몇 초 내에 식별되며 감염이 속한 멀웨어 계열의 이름, 암호 해독 가능 여부 등과 같은 다양한 세부 정보가 제공됩니다.

리눅스용 메모장++

예 1 (Qewe [Stop / Djvu] 랜섬웨어) :

Recuva 데이터 복구 도구 스캔 시간

예제 2 (.iso [Phobos] 랜섬웨어) :

데이터를 복구하는 Recuva 데이터 복구 도구

ID 랜섬웨어가 지원하지 않는 랜섬웨어에 의해 데이터가 암호화되는 경우 언제든지 특정 키워드 (예 : 랜섬 메시지 제목, 파일 확장자, 제공된 연락처 이메일, 암호 화폐 지갑 주소 등)를 사용하여 인터넷 검색을 시도 할 수 있습니다. ).

랜섬웨어 복호화 도구 검색 :

대부분의 랜섬웨어 유형 감염에 사용되는 암호화 알고리즘은 매우 정교하며 암호화가 제대로 수행되면 개발자 만 데이터를 복원 할 수 있습니다. 암호 해독에는 암호화 중에 생성되는 특정 키가 필요하기 때문입니다. 키없이 데이터를 복원하는 것은 불가능합니다. 대부분의 경우 사이버 범죄자는 감염된 시스템을 호스트로 사용하는 대신 원격 서버에 키를 저장합니다. Dharma (CrySis), Phobos 및 기타 고급 랜섬웨어 감염 군은 사실상 완벽하므로 개발자의 개입없이 암호화 된 데이터를 복원하는 것은 불가능합니다. 그럼에도 불구하고 제대로 개발되지 않았고 많은 결함을 포함하는 수십 개의 랜섬웨어 유형 감염이 있습니다 (예 : 각 피해자에 대해 동일한 암호화 / 복호화 키 사용, 로컬에 저장된 키 등). 따라서 컴퓨터에 침투하는 랜섬웨어에 대해 사용 가능한 암호 해독 도구를 항상 확인하십시오.

인터넷에서 올바른 암호 해독 도구를 찾는 것은 매우 실망 스러울 수 있습니다. 이러한 이유로 다음을 사용하는 것이 좋습니다. 더 이상 몸값 프로젝트 없음 그리고 이것은 랜섬웨어 감염 식별 유용합니다. No More Ransom Project 웹 사이트에는 ' 복호화 도구 '섹션에 검색 창이 있습니다. 식별 된 랜섬웨어의 이름을 입력하면 사용 가능한 모든 암호 해독기 (있는 경우)가 나열됩니다.

작업 표시 줄에서 OneDrive 아이콘을 클릭합니다.

데이터 복구 도구로 파일 복원 :

상황 (랜섬웨어 감염의 품질, 사용 된 암호화 알고리즘 유형 등)에 따라 특정 타사 도구를 사용하여 데이터를 복원 할 수 있습니다. 따라서 우리는 당신이 CCleaner에서 개발 한 Recuva 도구 . 이 도구는 1000 개 이상의 데이터 유형 (그래픽, 비디오, 오디오, 문서 등)을 지원하며 매우 직관적입니다 (데이터 복구에 필요한 지식이 거의 없음). 또한 복구 기능은 완전 무료입니다.

1 단계: 스캔을 수행하십시오.

Recuva 애플리케이션을 실행하고 마법사를 따릅니다. 검색 할 파일 유형, 검사 할 위치 등을 선택할 수있는 여러 개의 창이 표시됩니다. 검색 할 옵션을 선택하고 검사를 시작하기 만하면됩니다. '를 활성화하는 것이 좋습니다. 면밀히 살펴보다 '시작하기 전에 그렇지 않으면 응용 프로그램의 스캔 기능이 제한됩니다.

도움말 및 설정을 선택하고 설정을 클릭하십시오.

Recuva가 스캔을 완료 할 때까지 기다립니다. 검색 기간은 검색중인 파일의 양 (양과 크기 모두)에 따라 다릅니다 (예 : 수백 기가 바이트는 검색하는 데 1 시간 이상 걸릴 수 있음). 따라서 스캔 과정에서 인내심을 가지십시오. 또한 스캔을 방해 할 수 있으므로 기존 파일을 수정하거나 삭제하지 않는 것이 좋습니다. 스캔하는 동안 추가 데이터 (예 : 파일 / 콘텐츠 다운로드)를 추가하면 프로세스가 연장됩니다.

백업 탭을 선택하고 백업 관리를 클릭합니다.

2 단계: 데이터를 복구합니다.

프로세스가 완료되면 복원 할 폴더 / 파일을 선택하고 '복구'를 클릭하십시오. 데이터를 복원하려면 저장 드라이브의 여유 공간이 필요합니다.

백업 할 폴더를 선택하고 백업 시작을 클릭합니다.

데이터 백업 생성 :

데이터 보안을 위해서는 적절한 파일 관리와 백업 생성이 필수적입니다. 따라서 항상 매우 조심하고 미리 생각하십시오.

파티션 관리 : 데이터를 여러 파티션에 저장하고 전체 운영 체제를 포함하는 파티션 내에 중요한 파일을 저장하지 않는 것이 좋습니다. 시스템을 부팅 할 수없고 운영 체제가 설치된 디스크를 강제로 포맷해야하는 경우 (대부분의 경우 맬웨어 감염이 숨겨지는 곳) 해당 드라이브에 저장된 모든 데이터가 손실됩니다. 이것이 다중 파티션의 장점입니다. 전체 저장 장치를 단일 파티션에 할당 한 경우 모든 항목을 삭제해야하지만 다중 파티션을 만들고 데이터를 적절하게 할당하면 이러한 문제를 방지 할 수 있습니다. 다른 파티션에 영향을주지 않고 단일 파티션을 쉽게 포맷 할 수 있습니다. 따라서 하나는 정리되고 다른 파티션은 그대로 유지되며 데이터가 저장됩니다. 파티션 관리는 매우 간단하며 다음에서 필요한 모든 정보를 찾을 수 있습니다. Microsoft의 설명서 웹 페이지 .

데이터 백업 : 가장 안정적인 백업 방법 중 하나는 외부 저장 장치를 사용하고 플러그를 뽑아 두는 것입니다. 데이터를 외장 하드 드라이브, 플래시 (썸) 드라이브, SSD, HDD 또는 기타 저장 장치에 복사하고 플러그를 뽑은 다음 태양과 극한의 온도를 피해 건조한 장소에 보관하십시오. 그러나이 방법은 데이터 백업 및 업데이트를 정기적으로 수행해야하기 때문에 매우 비효율적입니다. 클라우드 서비스 또는 원격 서버를 사용할 수도 있습니다. 여기에서 인터넷 연결이 필요하며, 매우 드문 경우지만 항상 보안 위반의 가능성이 있습니다.

사용하는 것이 좋습니다 Microsoft OneDrive 파일 백업을 위해. OneDrive를 사용하면 클라우드에 개인 파일과 데이터를 저장하고, 컴퓨터와 모바일 장치간에 파일을 동기화하여 모든 Windows 장치에서 파일에 액세스하고 편집 할 수 있습니다. OneDrive를 사용하면 파일을 저장, 공유 및 미리보고, 다운로드 기록에 액세스하고, 파일을 이동, 삭제 및 이름을 바꿀뿐만 아니라 새 폴더를 만드는 등의 작업을 수행 할 수 있습니다.

PC에서 가장 중요한 폴더와 파일 (바탕 화면, 문서 및 사진 폴더)을 백업 할 수 있습니다. OneDrive의 주목할만한 기능 중 일부에는 최대 30 일 동안 이전 버전의 파일을 보관하는 파일 버전 관리가 있습니다. OneDrive에는 삭제 된 모든 파일이 제한된 시간 동안 저장되는 휴지통이 있습니다. 삭제 된 파일은 사용자 할당에 포함되지 않습니다.

이 서비스는 HTML5 기술을 사용하여 구축되었으며 웹 브라우저에 끌어서 놓기를 통해 최대 300MB까지 또는 웹 브라우저를 통해 최대 10GB까지 파일을 업로드 할 수 있습니다. OneDrive 데스크톱 응용 프로그램 . OneDrive를 사용하면 전체 폴더를 최대 10,000 개의 파일이 포함 된 단일 ZIP 파일로 다운로드 할 수 있지만 한 번의 다운로드 당 15GB를 초과 할 수 없습니다.

OneDrive는 5GB의 무료 저장소와 함께 제공되며 구독 기반 요금으로 사용할 수있는 추가 100GB, 1TB 및 6TB 저장소 옵션이 있습니다. 추가 저장소를 별도로 구입하거나 Office 365 구독을 통해 이러한 저장소 요금제 중 하나를 얻을 수 있습니다.

데이터 백업 생성 :

백업 프로세스는 모든 파일 유형 및 폴더에 대해 동일합니다. Microsoft OneDrive를 사용하여 파일을 백업하는 방법은 다음과 같습니다.

1 단계: 백업 할 파일 / 폴더를 선택하십시오.

수동으로 파일을 선택하고 복사

클릭 OneDrive 클라우드 아이콘 열다 OneDrive 메뉴 . 이 메뉴에서 파일 백업 설정을 사용자 지정할 수 있습니다.

복사 한 파일을 OneDrive 폴더에 붙여 넣어 백업을 만듭니다.

딸깍 하는 소리 도움말 및 설정 그런 다음 설정 드롭 다운 메뉴에서.

OneDrive 폴더의 파일 상태

로 이동 백업 탭 클릭 백업 관리 .

도움말 및 설정을 클릭하고 온라인보기를 클릭합니다.

이 메뉴에서 백업을 선택할 수 있습니다. 데스크탑 그리고 그 안에있는 모든 파일 서류영화 폴더에 모든 파일이 포함되어 있습니다. 딸깍 하는 소리 백업 시작 .

이제 바탕 화면 및 문서 및 사진 폴더에 파일 또는 폴더를 추가하면 해당 파일이나 폴더가 OneDrive에 자동으로 백업됩니다.

위에 표시된 위치가 아닌 폴더와 파일을 추가하려면 수동으로 추가해야합니다.

설정 톱니 바퀴를 클릭하고 옵션을 클릭합니다.

파일 탐색기 열기 백업하려는 폴더 / 파일의 위치로 이동합니다. 항목을 선택하고 마우스 오른쪽 버튼으로 클릭합니다. 을 클릭하고 .

하나의 드라이브 복원

그때, OneDrive로 이동하고 마우스 오른쪽 단추를 클릭합니다. 창의 아무 곳이나 클릭 . 또는 파일을 OneDrive로 끌어다 놓을 수 있습니다. OneDrive는 폴더 / 파일의 백업을 자동으로 만듭니다.

OneDrive 폴더에 추가 된 모든 파일은 클라우드에 자동으로 백업됩니다. 확인 표시가있는 녹색 원은 파일을 로컬 및 OneDrive에서 모두 사용할 수 있으며 파일 버전이 둘 다에서 동일 함을 나타냅니다. 파란색 구름 아이콘은 파일이 동기화되지 않았으며 OneDrive에서만 사용할 수 있음을 나타냅니다. 동기화 아이콘은 파일이 현재 동기화 중임을 나타냅니다.

OneDrive 온라인에있는 파일에만 액세스하려면 도움말 및 설정 드롭 다운 메뉴를 선택하고 온라인보기 .

2 단계: 손상된 파일을 복원하십시오.

OneDrive는 파일이 동기화 상태를 유지하므로 컴퓨터의 파일 버전이 클라우드의 동일한 버전이되도록합니다. 그러나 랜섬웨어로 인해 파일이 암호화 된 경우 다음을 활용할 수 있습니다. OneDrive의 버전 기록 당신이 할 수있는 기능 암호화 이전에 파일 버전 복원 .

Microsoft 365에는 OneDrive 파일이 공격을 받았을 때이를 알리고 파일 복원 프로세스를 안내하는 랜섬웨어 감지 기능이 있습니다. 그러나 유료 Microsoft 365 구독이없는 경우 하나의 검색 및 파일 복구 만 무료로받을 수 있습니다.

OneDrive 파일이 삭제, 손상 또는 맬웨어에 감염된 경우 전체 OneDrive를 이전 상태로 복원 할 수 있습니다. 전체 OneDrive를 복원하는 방법은 다음과 같습니다.

1. 개인 계정으로 로그인 한 경우 설정 톱니 바퀴 페이지 상단에 있습니다. 그런 다음 옵션 그리고 선택 OneDrive 복원 .

직장 또는 학교 계정으로 로그인 한 경우 설정 톱니 바퀴 페이지 상단에 있습니다. 그런 다음 OneDrive 복원 .

2. OneDrive 복원 페이지에서 드롭 다운 목록에서 날짜를 선택하십시오 . 자동 랜섬웨어 탐지 후 파일을 복원하는 경우 복원 날짜가 선택됩니다.

3. 모든 파일 복원 옵션을 구성한 후 복원 선택한 모든 활동을 취소합니다.

랜섬웨어 감염으로 인한 피해를 피하는 가장 좋은 방법은 정기적 인 최신 백업을 유지하는 것입니다.