- NEW초롱이의 하루
- kisa
- 길은 가면, 뒤에 있다
- C언어 예술가
- Zer0 day - Zer0 day
- Information Security
- Secure-EDU
- 앙큼한유채's 일상 Story
- Library of Ezbeat (잠정 폐쇄)
- The Factory
- 안드
- 모후모후의 커뮤니티
- 공학도의 잡다한 시선
- 안드2
- IT속에 코코아
- IP주소검색(whois)
- IP주소검색(좌표포함)
- 소프트웨어 경력 관리
- 해저 케이블 지도
- MAC주소검색
- IANA
- 포트번호검색
- 자신의IP확인
- 웹페이퍼캡처
- 나의패스워드보안등급
- 웹 취약점 분석
- IT용어정리
- GitHub
- 라이브러리 모음
- 웹마당넷
- 시스템콜참고
- BCD 변환
- 보안뉴스
- 코딩도장(C, Python)
- 백준알고리즘
- 코딩테스트 연습
- 웹 사이트 테스트
- 스크립트꾸미기
- ctf대회목록
- 전자신문
- hash 크랙
- CVE
- 도메인등록
- N클라우드
- BugBountyList
- 칼리공식사이트
- CR4FTING BOX
- 아스키코드 변환
- 웹 사이트 통계 및 평가
- PDF변환
- AWS 및 클라우드 정보
- 가상화 및 서버관련
- 티오리
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- Tkinter
- 라즈베리파이
- API
- GUI
- 쉘 스크립트 if문
- JSP
- centos docker
- 쉘 스크립트
- 자바
- Linux
- LEVIATHAN
- Android
- 쉘 스크립트 기초
- Java
- docker
- RaspberryPi
- synology
- Shell script
- 네트워크
- 리눅스
- 클라우드
- 프로젝트
- nginx
- 안드로이드
- GPIO
- ACL
- System
- Python
- 메소드
- 그라파나
- Today
- Total
IT창고
PETYA 랜섬웨어 디스크 복구 본문
PETYA 랜섬웨어가 걸린 디스크를 복구하도록 하겠습니다.
랜섬웨어 PETYA 악성코드는 2016년 04월에 처음 발견되었으며 우리나라에서도 감염된적이 있고 MBR영역을 감염시킵니다.
PETYA에 걸린 가상머신입니다.
랜섬웨어가 걸리고 파일들의 암호화가 걸리며 재부팅을 하면 나타나게 되는 화면입니다.
아무키나 입력하면 금전을 요구하는 문구들이 있으며 key값을 입력해야하는 복호화가 되는 방식입니다.
PETYA에 감염되면 총 0x7202 오프셋까지 감염이 됩니다. 복구하는 방법은 암호화된 MBR을 XOR연산을 통해 복호화를 하고 악성 데이터가 덮어 쓰인 영역을 모두 0으로 채워주면 됩니다. 즉 MBR~VBR사이를 0으로 채우면 됩니다.
ftk imager로 랜섬웨어가 걸린 디스크파일을 열어보고 0x37연산원본이 있는 곳인 0x7000으로 이동해보았습니다.
ctrl + G 를 눌러서 바로 이동할수있습니다. 56번 섹터의 마지막 시그니처가 0x62 0x9D로 되어있는걸 확인할수있습니다.
HxD에디터로 열어서 확인해보겠습니다.
지금 PETYA 랜섬웨어가 걸린 PC는 VMware 가상머신입니다. 가상머신은 0섹터가 MBR이 아닙니다.
해당 가상머신에서 MBR을 찾으려하면 40~47 오프셋을 확인해야합니다. 리틀엔디안으로 3C80 -> 15488번 섹터가 MBR입니다.
아까 ftk tool로 확인했던 연산원본이 있는 섹터는 56번 섹터로 15488+56 = 15544번 섹터가 연산원본 섹터가 됩니다.
VMware가상머신에 대해 자세히 알고싶다면 아래를 사이트를 참고합니다http://forensic.korea.ac.kr/DFWIKI/index.php/%EA%B0%80%EC%83%81%EB%A8%B8%EC%8B%A0
이제 0x629D를 XOR연산을 해보겠습니다.
62 9D를 바이너리로 바꾸면 0110 0010 1001 1101이고 37 37을 바꾸면 0011 0111 0011 0111입니다.
0110 0010 1001 1101
0011 0111 0011 0111 xor 연산
-------------------------------
0101 0101 1010 1010 -> 55 AA
0x62 0x9D는 0x55 0xAA였다는걸 확인할수있습니다.
이제 56번 섹터의 내용을 모두 0x37 XOR연산을 해주면 복호화가 됩니다.
원본 파일을 XOR 연산해줍니다.
XOR연산을 해주면 정상적으로 복호화가 된걸 확인할수있습니다.
이제 악성 데이터가 덮어 쓰인 영역을 모두 0으로 채워넣기만 하면 됩니다.
MBR영역에는 아까 복화화한 내용을 넣어주면 됩니다.
여기까지 감염된 MBR복구 과정이였습니다. 이제 제대로 실행이되는지 가상머신을 다시 돌려보겠습니다.
PETYA의 경고화면도 안보이며 정상적으로 부팅이 되는걸 확인할수있습니다.
'보안 > Digital forensic' 카테고리의 다른 글
우리은행 가짜 보안로그 프로그램 디스크 복구 (0) | 2018.07.08 |
---|---|
Golden_Eye 랜섬웨어 디스크 복구 (2) | 2018.07.08 |
suninatas - 포렌식 32번 Terrorist 문제풀이 (0) | 2018.07.08 |
Extend 파티션 구조 (0) | 2018.07.08 |
NTFS 파티션 복구 (0) | 2018.07.08 |