벌새::Security
2016. 12. 23. 11:45
Cerber 랜섬웨어(Red 버전) 암호화 파일 복구 방법 (2016.12.23)
국내에서 가장 많은 피해를 유발하고 있는 Cerber 랜섬웨어(Ransomware) 중 Cerber 4.x / 5.x 버전의 경우 비트코인(Bitcoin) 지불이 이루어지지 않는 경우 파일 복구 방법이 전혀 공개되어 있지 않은 상태입니다. 파일 암호화 후 변경되는 바탕 화면 배경 기준으로 녹색(Green) 메시지를 표시하는 Cerber 5.0.1 버전까지는 암호화 시작 과정에서 다음과 같은 기능이 수행됩니다. Windows 운영 체제에서 제공하는 볼륨 섀도 복사본(Volume Shadow Copy) 서비스를 통해 시스템 복원을 할 수 없도록 WMI 명령줄 유틸리티를 통해 "C:\Windows\System32\wbem\WMIC.exe shadowcopy delete" 명령어가 수행됩니다. 이를 통해 Cer..