LowLevel04 Ransomware - 제거하는 방법

LowLevel04 랜섬웨어는 2015 년 10 월에 발견되었으며, 계속해서 취약한 기기를 공격하고 있습니다. 이 파일 암호화 랜섬웨어는 특히 그리스와 불가리아에 있는 회사를 주요 목표로 하며, 그들의 서버를 적극적으로 공격합니다. 해커들은 네덜란드(예: 89.248.172.159)와 터키에 있는 것으로 보이는 IP 주소를 가지고 있는 것으로 보고되었습니다.

LowLevel04 랜섬웨어 간략 소개

LowLevel04 크립토 랜섬웨어는 해당 지역에 저장된 파일을 암호화하기 위해 AES (Advanced Encryption Standard – 고급 암호 표준) 암호화 알고리즘을 사용합니다. 목표 데이터 파일 종류는 다음과 같습니다:

.3fr, .dbf, .dcr, .dwg, .doc, .der, .erf, .eps, .jpg, .mp3, .mp4, .mef, .mrw, .mdf, .bay, .bck, .bkp, .bcp, .cdr, .mid, .nef, .nrw, .dat, .dxg, .dng, .pptx, .pptm, .jpe, .kdc, .mdb, .jpeg, .indd, .docx, .docm, .pfx, .raw, .rwl, .opd, .odm, .odc, .orf, .odb, .pdd, .pdf, .pst, .ppt, .rtf, .rw2, .odt, .ods, .pem, .sql, .xls, .xml, .xlk, .wpd, .wav, .wb2, .wps, .x3f, .zip, .xlsb, .arw, .bmp, .cer, .crw, .cr2, .crt, .dxf, .r3d, .srf, .sr2, .srw, .p12, .p7b, .p7c, .ptx, .pef, .png, .psd, .php, .rar, .raf, .xlsx, .xlsm, .exe, .bad, .lpa, .sys, .dll, .msi, .ie5, .ie6, .ie7, .ie8, .ie9, .ini, .inf, .lnk, .scr, .com, .ico, .desklink, .mapimail, .search-ms, .automaticDestinations-ms, .bkup, .database, .backup, .zip

암호화된 파일에 접두사 oorr.이 추가됩니다. 예를 들어, Presentation.ppt이 암호화되면 oorr.Presentation.ppt가 됩니다. 암호화된 파일은 실제로 암호 해독과 관련된 여러 계층의 정보를 추가하여 변경됩니다. 암호 해독 정보의 5 가지 계층은 다음과 같습니다: 암호화된 파일, 암호화 전 파일 크기, RSA-2048 암호화 키, 키 크기 및 LowLevel04 감염 식별자 – 접두사.

Date.exe인 LowLevel04 랜섬웨어의 실행 파일은 암호화가 끝난 후 자체적으로 삭제됩니다. 그리고 암호화 과정에서 생성된 모든 파일도 삭제됩니다. 또한, 명령어 wevtutil.exe cl Application, wevtutil.exe cl Security 및 wevtutil.exe cl System은 애플리케이션, 보안 및 시스템 이벤트 로그를 지우도록 구현되기 때문에 손상된 컴퓨터에 대한 공격을 조사하는 것이 불가능합니다.

대가에 대한 알림이 포함된 help recover files.txt 파일은 감염된 폴더에 위치합니다. 그리스어 버전도 있습니다. 영어 버전의 알림은 다음과 같습니다:

대가는 2,947.28 USD와 동일한 4 BTC입니다. [email protected]과 [email protected]은 동일한 이메일 주소입니다. 피해자들께서 대가를 지불한 후에 암호화 키를 받았다고 보고하셨음에도 불구하고, 저희는 이를 추천하지 않습니다. 공격자는 원하는 만큼 데이터를 두 번 이상 훔칠 수 있습니다.

LowLevel04 랜섬웨어가 시스템에 침입하는 방법

LowLevel04 파일 암호화 멀웨어는 원격 데스크탑 또는 터미널 서비스를 암호 해독 공격, 즉 무차별 공격으로 해킹하여 배포합니다. 이러한 종류의 공격은 올바른 암호가 발견 될 때까지 여러 암호로 계속 시도됩니다. 위에 언급된 서비스에 대한 액세스가 확보되면, 암호화 바이러스의 페이로드가 손상된 시스템에 다운로드 될 수 있습니다.

파일의 암호 해독 방법 및 감염 제거 방법

아직 이용 가능한 신뢰할 수 있는 소스의 암호 해독 도구가 없습니다. 따라서, 암호 해독은 선택 옵션이 아닙니다. 그럼에도 불구하고, 감염된 드라이브를 복사하시기 바랍니다. 한편, 셰도우 볼륨 복사본은 LowLevel04 랜섬웨어 바이러스의 영향을 받지 않으므로, 이를 사용하실 수 있습니다. 셰도우 볼륨 서비스를 사용하여 파일을 복원하는 방법을 모르신다면, 다음 링크를 따르시기 바랍니다: http://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volume-copies/. 셰도우 볼륨 서비스를 사용하실 수 없는 경우, 언제든지 Recuva, PhotoRec 등과 같은 데이터 복원 소프트웨어를 사용하실 수 있습니다.

볼륨 스냅샷 서비스를 이용하시거나 데이터 복원 도구를 다운로드 받으시기 전에, PC에서 LowLevel04 바이러스를 제거하시기 바랍니다. Reimage, Spyhunter 또는 Hitman을 다운로드 받아 전체 시스템 검사를 실행하시기 바랍니다. 이 암호화 바이러스의 수동 제거 가이드는 하단에서 확인하실 수 있습니다.

시스템 복원을 이용한 LowLevel04 Ransomware 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● LowLevel04 Ransomware 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. LowLevel04 Ransomware 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 LowLevel04 Ransomware 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 LowLevel04 Ransomware 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 LowLevel04 Ransomware는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.