포스팅 내용

국내외 보안동향

TeslaCrypt 복호화 키 공개!

TeslaCrypt 복호화 키 공개!


지금까지 알약에서는 알약의 랜섬웨어 차단기능을 통하여 알약 사용자들이 TeslaCrypt 랜섬웨어로 인하여 파일들이 암호화 되는 것을 차단해 주었습니다. 하지만 알약을 사용하지 않는 사용자분들께서 이미 암호화 된 파일들을 복호화 해달라는 도움을 요청해 주셨을 때에는 저희도 도움을 드리지 못해 안타까웠습니다. 


하지만 이제 TeslaCrypt로 파일들이 암호화 되었던 사용자들은 걱정을 안하셔도 될 것 같습니다. TeslaCrypt 랜섬웨어의 마스터 복호화 키가 공개되었기 때문입니다.


ESET의 분석가에 따르면, TeslaCrypt의 제작자들이 점차 그 활동을 멈춰갔으며, 기존 배포자들이 CryptXXX 랜섬웨어의 배포로 넘어가고 있다고 밝혔습니다.


복호화 키가 공개되어 TeslaCrypt 버전 3.0 및 4.0으로 암호화 된 파일들도 복호화 할 수 있게 되었습니다. 이는 즉 TeslaCrypt로 암호화 된 .xxx, .ttt, .micro, .mp3확장자의 파일 혹은 확장자가 없는 파일들이 복호화가 가능하다는 뜻입니다. 


복호화 방법


1. TeslaDecoder를 다운로드 받은 후 TeslaDecoder.exe 파일을 실행시킵니다.

▶ TeslaDecoder 내려받기

2. Set Key 버튼을 클릭하여 암호화 된 파일에 사용된 확장자를 선택합니다. 




3. 사용자의 암호화 된 파일이 기존 파일과 동일한 파일명일 경우 해당 옵션을 선택합니다. 암호화 된 파일의 확장자를 선택한 후 아래 이미지와 같이 Set Key 버튼을 클릭합니다. 




4. 정상 복호화 키가 나타납니다. 


5. 그 다음 정상 복호화 키가 복호화 툴에 로드되기 때문에, 사용자는 특정 폴더를 복호화 시키거나 전체 드라이브를 검사할 수도 있습니다. 만약 지정한 폴더만 복호화 하고자 한다면, Decrypt Folder 버튼을 클릭하고, 전체 컴퓨터를 복호화를 하고자 한다면 Decrypt all 버튼을 클릭합니다. 




6. 버튼을 클릭하면 TeslaDecoder는 사용자에게 전체 파일을 암호화 되지 않은 버전으로 덮어 쓸것인지 물어봅니다. 하지만 복호화 시 에러가 발생할 경우를 대비하여, 덮어쓰지 않는것을 권고드립니다. 




7. TeslaDecoder가 파일 복호화를 마치면 메인 창에 요약이 나타납니다. 

모들 파일이 복호화가 되었으며, 파일 덮어쓰기를 선택하지 않은 경우, .TeslaBackup 확장자가 추가된 암호화 된 파일의 백업이 생성됩니다. 







출처 : 

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

  1. Kanade. 2016.05.20 12:34 신고  수정/삭제  댓글쓰기

    드디어 TeslaCrypt 랜섬웨어가 끝을 보는군요. 그런데 이젠 Crypt 랜섬웨어가 문제네요..T_T

    • 알약(Alyac) 2016.05.23 10:34 신고  수정/삭제

      미쿤님 안녕하세요. TeslaCrypt는 종료됬지만 여전히 다른 랜섬웨어들이 활개를 치고있어 저희도 걱정입니다.ㅠ_ㅠ

  2. hj 2016.05.22 02:35 신고  수정/삭제  댓글쓰기

    지금 crypt rap4096 랜섬웨어에 걸렸는데 아직 이 랜섬웨어는 해결책이 나오지 않았나요?

    • 알약(Alyac) 2016.05.23 10:35 신고  수정/삭제

      hj님 안녕하세요. http://blog.alyac.co.kr/614 해당 포스팅을 확인해 보시고, 언급되어 있는 Decryptor로 복호화 해보시기 바랍니다. 감사합니다.

  3. 아빠돼지 2016.06.01 18:37 신고  수정/삭제  댓글쓰기

    vvv로 확장자가 바뀌면서 문제가 되었는데, 이 방법으로는 해결이 되지 않네요. ㅠㅠ

    how recover 파일을 열어보니
    All of your files were protected by a strong encryption with RSA-4096.
    이런 부분이 있던데, 이게 crypt rap4096 랜섬웨어인가요?

    http://blog.alyac.co.kr/614에 있는 Decryptor로 돌려보니 암호화 된 파일과 백업해 두었던 원본을 입력해도 복호화가 되지 않고 다시 처음으로 돌아가기만 하네요...

    제가 다른 곳에서 헤메고 있는 것인지... 아직 더 기다려야 하는 것인가요?

    • 알약(Alyac) 2016.06.03 09:52 신고  수정/삭제

      아빠돼지님 안녕하세요. 확장자가 .vvv로 바뀌었다면, TeslaCrypt의 변종에 감염된 것으로 추측됩니다. 현재 포스팅에 언급되어 있는 TeslaDecoder로 시도해 보셔도 복호화가 안되시는 건가요?

  4. 랜섬시러 2016.06.08 21:04 신고  수정/삭제  댓글쓰기

    며칠전에 파일이 crypz확장자로 바뀌고 아무것도 못하고 있어요..ㅜㅜ..이것도 랜섬웨어인가요?

    • 알약(Alyac) 2016.06.10 15:04 신고  수정/삭제

      랜섬시러님 안녕하세요. 확장자가 crypz로 바뀌셨다면 CryptXXX랜섬웨어 변종에 걸리신 것입니다.ㅠ_ㅠ

  5. 홍경희 2016.06.11 18:20 신고  수정/삭제  댓글쓰기

    확장파일이 모두 ccc로 바꿔서 이 프로그램을 깔고 실행하려고 하는데 확장자유형을 선택한다음 KEY에는 무엇을 입력해야 하나요? 확장자유형을 선택해도 아무것도 뜨지 않아서요. howto_recover_file라고 되어 있는 것은 다 지워버렸는데 그것과 연관이 있을까요?

  6. 홍경희 2016.06.11 18:24 신고  수정/삭제  댓글쓰기

    네일버 지식에 물어볼때 howto관련 txt파일을 복사했었는데

    For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
    1. http://fg347djvb.poin84mdgu9e.com/3E9085DBD560BE96
    2. http://hfy28djd6dh.rg7hdts4d2sjfy.com/3E9085DBD560BE96
    3. https://3st7uyjfocyourll.onion.to/3E9085DBD560BE96

    요 부부에서 3E90~~ 라고 되어 있는것이 KEY일까요?

    • 알약(Alyac) 2016.06.13 11:07 신고  수정/삭제

      홍경희님 안녕하세요. KEY 값은 자동으로 생성됩니다. 확장자에서 as original을 선택하시면 key값이 자동으로 생성되며, 그 후 다시 암호화 된 확장자를 선택하시면됩니다. 감사합니다.

  7. 홍경희 2016.06.16 00:45 신고  수정/삭제  댓글쓰기

    안녕하세요? key 값을 자동으로 생성되어서 프로그램을 실행했는데 ccc확장자가 그대로이면 이 프로그램이 소용이 없는거겠죠? 너무 기대했는데 되는 것도 있고 안되는 것도 있나봐요.. 될 줄 알고 기대했었는데~~

    • 알약(Alyac) 2016.06.16 13:06 신고  수정/삭제

      홍경희님 안녕하세요. 복호화가 안되신다면 TeslaCrypt에 감염되신 것이 아니라 CryptoWall에 감염되신 것이 아닐까 생각됩니다. 랜섬웨어는 워낙 변종이 많아 확장자만 가지고는 어떤 랜섬웨어에 감염되었는지 확인이 어렵습니다.ㅠ_ㅠ 도움을 드리지 못해 죄송합니다.

  8. jkjace0315 2016.07.04 20:53 신고  수정/삭제  댓글쓰기

    Key is incorrect or empty 라고 뜨는건 왜그런걸가요??

    • 알약(Alyac) 2016.07.05 10:15 신고  수정/삭제

      말씀하신 사항만으로는 저희가 문제를 확인하고, 해결해드리기가 어렵습니다. 적절한 도움을 드리지 못해 죄송합니다. ㅠ_ㅠ

  9. Han 2016.07.07 15:52 신고  수정/삭제  댓글쓰기

    이리 저리 확인해 본 결과 teslacrypt 랜섬웨어가 맞는 것 같은데요.
    TeslaDecoder 를 실행해 보아도 감염된 파일은 '0'으로 나오고 해결도 안됩니다.
    Decryption finished. (0 files decrypted, 746 files skipped, 0 warnings)
    See log file for more information: C:\Program Files (x86)\ESTsoft\ALZip\log.txt
    그 이유는 무엇인지요?


    • 알약(Alyac) 2016.07.07 17:38 신고  수정/삭제

      안녕하세요. 원래 log.txt 파일이 tesladecoder 하위에 생성되어야 합니다. 현재 log 파일 경로가 alzip 하위인것으로 보아 문제가 있는 것으로 추측되나, TeslaDecoder는 저희가 만든 복호화 툴이 아니기때문에 더 자세한 답변이 불가한 점 양해 부탁드립니다. 감사합니다.

  10. eden 2016.07.28 02:49 신고  수정/삭제  댓글쓰기

    Decryption finished. (0 files decrypted, 5798 files skipped, 0 warnings)
    See log file for more information: C:\Users\iil\Desktop\TeslaDecoder\TeslaDecoder\log.txt

    안녕하세요, 저는 tesladecoder 하위에 log파일이 생성되었으나 복구가 되지 않습니다... ㅠㅠ
    어떻게 해결 방법이 없을까요?

    • 알약(Alyac) 2016.07.28 09:40 신고  수정/삭제

      안녕하세요. 감염된 랜섬웨어가 teslacrypt가 맞으신지요? 해당 디코더는 teslacrypt에 감염되었을 때에만 복호화되는 툴입니다. 그리고 안타깝게도 해당 복호화툴은 저희가 만든 것이 아니기 때문에 더 자세한 답변을 드리기 어렵습니다. ㅠㅠ 이 점 깊이 양해해주시기 바랍니다. 감사합니다.

  11. shaun 2016.11.09 02:17 신고  수정/삭제  댓글쓰기

    하 드디어 나왔군요 기다린 보람이 있네요 micro 파일 전부 복구가 됬네요
    정말 소중한 사진들을 다시 복구할수 있어서 행복하네요

    • 알약(Alyac) 2016.11.09 09:09 신고  수정/삭제

      모두 복구가 되셨다니 정말 다행이네요! 도움을 드릴 수 있어서 뿌듯한 마음입니다. ^^ 또한 꼭꼭 당부드리고 싶은 말씀은, 이후에도 랜섬웨어에 피해를 입지 않도록 예방 수칙을 잘 지켜주시길 부탁 드릴게요. 주요 SW 최신 버전 업데이트 유지와 중요한 파일들은 따로 백업해두시는 것! 잊지 말아주세요~ ^^

  12. 임승희 2016.11.16 17:09 신고  수정/삭제  댓글쓰기

    THOR 파일로 엑셀이랑 그림파일이 전부 바꼈는데...이건 어떻게 해야할까요?ㅜㅜ

    • 알약(Alyac) 2016.11.17 10:01 신고  수정/삭제

      안녕하세요. 알약입니다. 죄송하지만 말씀하신 내용만으로는 정확한 답변을 드리기 어렵습니다. ㅠㅠ 알약 [신고하기]를 통해 샘플파일과 함께 관련 상세 내용을 신고해주시면, 저희가 확인 후 좀 더 자세한 안내를 드리도록 하겠습니다. 감사합니다.

  13. xdpawpdlx 2017.06.26 09:55 신고  수정/삭제  댓글쓰기

    복구화된 파일은 어디가서 볼수있나요 ?

    • 알약(Alyac) 2017.06.27 09:00 신고  수정/삭제

      안녕하세요. 말씀하신 내용은 해당 포스트에 있는 내용 중 7번 내용을 참고해주시기 바랍니다.
      See log file for more information: C:\Users\iil\Desktop\TeslaDecoder\TeslaDecoder\log.txt
      관련 경로를 확인 부탁 드릴게요. 감사합니다.

티스토리 방명록 작성
name password homepage