매뉴얼의목적 - 이매뉴얼은국내랜섬웨어피해자가노모어랜섬한국어페이지 ( 에등록된복구프로그램들을쉽게이용할수있도록제작되었습니다. - 이사이트에는다양한종류의복구프로그램이있어, 감염된랜섬웨어종류에맞는프로

노모어랜섬 (No More Ransom) 사이트및 복구프로그램이용매뉴얼 경찰청

매뉴얼의목적 - 이매뉴얼은국내랜섬웨어피해자가노모어랜섬한국어페이지 (https://www.nomoreransom.org/co/index.html) 에등록된복구프로그램들을쉽게이용할수있도록제작되었습니다. - 이사이트에는다양한종류의복구프로그램이있어, 감염된랜섬웨어종류에맞는프로그램을사용해야합니다. 노모어랜섬관련정보 - 노모어랜섬 (No More Ransom) 프로젝트는랜섬웨어에대응하기위한다국적민 관합동프로젝트로유로폴, 네덜란드경찰, McAfee, Kaspersky Lab에의해 2016년 7월창설되었습니다. - 창설이후경찰청, 한국인터넷진흥원을비롯한세계각국의공공기관및민간보안업체 ( 국내는이스트시큐리티社가입 ) 등 107개파트너가프로젝트에가입했습니다 (2017년 7월기준 ). - 노모어랜섬사이트에서는 9개파트너기관에서제작한랜섬웨어복구프로그램을무료로제공하여 90여종에달하는랜섬웨어가복구가능하며, 지속적으로새로운프로그램들이업데이트되고있습니다. 책임한계 - 이매뉴얼은민간보안기업등이자사의복구프로그램에대해작성한영문매뉴얼을번역한것으로, 해당매뉴얼과프로그램의사용에대해경찰청과각기업은어떠한법적책임도지지않습니다. - 이용자의 PC 환경, 랜섬웨어버전등에따라파일이정상적으로복구되지않을수있으며, 경찰청과각기업은이에대한어떠한법적책임도지지않습니다. - 홈페이지는수시로업데이트되고있어, 매뉴얼의세부적인내용이실제홈페이지내용과일치하지않을수있습니다.

목 차 1. 사이트이용법 ----------------------- 1p - 랜섬웨어해결사 ----------------------- 1p - 복구프로그램 ----------------------- 2p 2. 복구가능한랜섬웨어목록 ----------------------- 4p AES_NI ------------------------------------------- 7p Agent.iih Aura AutoIt Cryptokluchen Democry Dharma Jaff Lamer Lortok Pletor Rakhni Rotor TeslaCrypt V3~V4 XData Cryakl Crybola Fury Marsjoke aka Polyglot Rannoh Alcatraz Amnesia Amnesia2 Cry128 Cry9 CryptON Damage FenixLocker Globe Globe2 Globe3 GlobeImposter Gomasom ------------------------------------------- 10p ------------------------------------------- 12p

Marlboro Merry X-Mas MRCR Nmoreira Ozozalocker Philadelphia XORIST BarRax AES_NI BTCWare Crypt888 HiddenTear Noobcrypt Popcorn Derialock PHPware ------------------------------------------- 12p ------------------------------------------- 16p ------------------------------------------- 18p ------------------------------------------- 23p ------------------------------------------- 25p ------------------------------------------- 26p Wildfire Shade ------------------------------------------- 29p Bitcryptor ------------------------------------------- 32p Coinvault Jigsaw ------------------------------------------- 34p 777 ------------------------------------------- 36p AutoLocky BadBlock CERBER V1 Chimera CryptXXX V1 CryptXXX V2 CryptXXX V3 CryptXXX V4 CryptXXX V5 CrySIS DXXD Globe/Purge Jigsaw LECHIFFRE MirCop SNSLocker Stampado - 4 -

Teamxrat/Xpan TeslaCrypt v1~v4 XORBAT XORIST Linux.Encoder.1 Linux.Encoder.3 EncrypTile MacRansom ------------------------------------------- 36p ------------------------------------------- 47p ------------------------------------------- 50p ------------------------------------------- 51p ------------------------------------------- 53p

1. 사이트이용법 위메인화면중 [1. 랜섬웨어해결사, 2. 복구프로그램 ] 코너를이용해 랜섬웨어에감염된파일을복구할수있습니다. 랜섬웨어해결사 감염된파일이이사이트의복구프로그램으로복구가능한지확인합니다. 메인화면에서 네 를클릭해도동일한페이지로이동합니다. < 이용방법 > - 1-1번 PC에서파일선택 란에서암호화된파일을업로드하고 2번 확인하기! 를클릭하면분석후복구가능여부에대한결과가표시됩니다. - 1-2번창에서는랜섬웨어감염화면에서찾을수있는이메일이나웹사이트주소, 랜섬웨어감염시자동으로생성된 readme.txt 등의파일을추가적으로업로드할수있습니다 ( 필수아님 ). - 1 -

복구프로그램 1번과정을거치지않고, 복구프로그램 코너에서직접파일복구프로그램을다운로드받을수있습니다. 다만여러종류의복구프로그램이있으므로 1번과정을먼저거치는것을추천합니다. 각각의복구프로그램이용법에대한상세한설명은다음장을참조하세요. - 2 -

2. 랜섬웨어복구프로그램설명 - 해당장에서는노모어랜섬사이트의 [ 복구프로그램 ] 코너에서제공되는각각의랜섬웨어복구프로그램에대해사용법을설명합니다. - 랜섬웨어는매우다양하여복구프로그램도그종류에따라다릅니다. 랜섬웨어는일반적으로파일을암호화할때생성되는확장자나, 랜섬웨어감염화면, 감염시생성되는텍스트파일이나 html 파일등의내용으로종류를알아낼수있습니다. 무작위로확장자를생성하는랜섬웨어도있어, 복합적인판단이필요하며, https://docs.google.com/spreadsheets/d/1tws238xacato-flkh1n5utsdijwdcesgim0y 0Hvmc5g/pubhtml에서각랜섬웨어에대한상세한정보를알수있음 < 랜섬웨어종류를확인하는방법 ( 예시 )> - 다음페이지에노모어랜섬사이트에서복구가능한랜섬웨어와그에 해당하는복구프로그램이정리되어있으니, 이를확인하고그에맞는 복구프로그램을사용하세요. - 3 -

연번 < 노모어랜섬사이트에서복구가능한랜섬웨어 > 랜섬웨어종류 ( 알파벳순 ) 감염파일고유확장자 매뉴얼페이지 1 777.777 36 2 AES_NI - 7/18 3 Agent.iih.locked.kraken.darkness 등 7 4 Alcatraz.Alcatraz 12 5 Amnesia - 12 6 Amnesia2-12 7 Aura. 감염고유번호 _blockchain@inbox.com 7 8 AutoIt.locked.kraken.darkness 등 7 9 AutoLocky.locky 36 10 BadBlock - 36 11 BarRax.BarRax 16 별도 12 Bart.bart.zip.bart.perl 매뉴얼없음 13 Bitcryptor.clf 32 14 BTCWare.btcware 18 15 CERBER V1.cerber 36 16 Chimera.crypt 36 17 Coinvault.clf 32 18 Cry128-12 19 Cry9-12 20 Cryakl.cbf 10 21 Crybola - 10 22 Crypt888 Lock. 18 23 Cryptokluchen.locked.kraken.darkness 등 7 24 CryptoMix 25 CryptON.code.scl.rmd.lesli.rdmk.CRYPTOSHIELD.CRYPTOSHIEL 등.crypt. 고유아이디 _locked. 고유아이디 _locked_by_krec. 고유아이디 _locked_by_perfect. 고유아이디 _x3m. 고유아이디 _r9oj.id-_garryweber@protonmail.ch. 고유아이디 _steaveiwalker@india.com. 고유아이디 -_julia.crown@india.com. 고유아이디 _tom.cruz@india.com. 고유아이디 _CarlosBoltehero@india.com. 고유아이디 _maria.lopez1@india.com 등 별도매뉴얼없음 12-4 -

26 CryptXXX V1 27 CryptXXX V2 28 CryptXXX V3 29 CryptXXX V4 30 CryptXXX V5.crypt.cryp1.crypz 또는임의의 5 자리 16 진수 7/36 임의의 5 자리 16 진수 36 31 CrySIS. 고유아이디. 이메일주소.xtbl. 고유아이디. 이메일주소.crypt. 고유아이디. 이메일주소.dharma. 고유아이디. 이메일주소.wallet 등 7/36 32 Damage.damage 12 33 Democry - 7 34 Derialock.deria 25 35 Dharma.DHARMA 7 36 DXXD. 원본확장자 +dxxd 36 37 EncrypTile - 51 38 FenixLocker.FenixIloveyou!! 12 39 Fury - 10 40 Globe.purge 12 41 Globe/Purge.purge 또는. 이메일주소 + 랜덤문자열 36 42 Globe2.lovewindows.openforyou@india.com 12 43 Globe3. 랜덤문자열.blt. 랜덤문자열.encrypted. 랜덤문자열.raid10.[mia.kokers@aol.com]. 랜덤문자열.globe.unlockvt@india.com 등 44 GlobeImposter - 12 45 Gomasom.crypt 12 46 HiddenTear.locked 18 47 Jaff - 7.btc.kkk.fun.gws.porno.payransom.payms.paymst.AFD.paybtcs.epic.xyz 48 Jigsaw.encrypted.hush.paytounlock.uk-dealer@sigaint. org.gefickt 34/36.nemo-hacks.at.sigaint.org 등 49 Lamer.locked.kraken.darkness 등 7 50 LECHIFFRE.LeChiffre 36 51 Linux.Encoder.1-47 52 Linux.Encoder.3-50 53 Lortok.crime 7 12-5 -

54 MacRansom - 53 55 Marlboro.oops 12 56 Marsjoke aka Polyglot.a19.ap19 10 57 Merry X-Mas.PEGS1.MRCR1.RARE1.MERRY.RMCM1 등 12 58 MirCop Lock. 36 59 Mole.mole 별도매뉴얼없음 60 MRCR.PEGS1.MRCR1.RARE1.MERRY.RMCM1 등 12 61 Nemucod.crypted 12/36 62 Nmoreira.maktub. AiraCropEncrypted! 12 63 Noobcrypt - 18 64 Ozozalocker.locked 12 65 Philadelphia.locked 12 66 PHPware - 26 67 Pletor.locked.kraken.darkness 등 7 68 Popcorn.filock 23 69 Rakhni.locked.kraken.darkness 등 7 70 Rannoh 4 자리임의문자열 ( 알파벳 ) 10 71 Rotor.locked.kraken.darkness 등 7 72 Shade.breaking_bad.better_call_saul.xtbl.da_vinci_code.windows10.no_more_ransom 등 73 SNSLocker.RSNSLocked 36 74 Stampado.locked 36/44 29 75 Teamxrat/Xpan. xratteamlucked 76 TeslaCrypt V1.ECC 77 TeslaCrypt V2.VVV,.CCC,.ZZZ,.AAA,.ABC,.XYZ 등 36 78 TeslaCrypt V3.micro.xxx.ttt.mp3 등 7/36 79 TeslaCrypt V4 파일확장자바뀌지않음 7/36 80 Wildfire.wflx 26 81 XData.~xdata~ 7 82 XORBAT.crypted 36 83 XORIST.xorist 또는랜덤문자열 12/36-6 -

1 Rakhni 복구프로그램 제작 : Kaspersky Lab 적용가능한랜섬웨어랜섬웨어명 AES_NI Jaff Agent.iih Lamer Aura Lortok Autoit Pletor Chimera Rakhni Cryptokluchen Rotor Crysis TeslaCrypt v3,4 Democry XData Dharma 참고 : Rakhni 랜섬웨어는암호화된패스워드가포함된 exit.hhr.oshit 파일을생성합니다. 이파일이컴퓨터에남아있으면복구작업이더빨라집니다. 해당파일이제거되었다면이를복원 ( 별도의복원도구사용 ) 한후에이를 %APPDATA% 폴더에넣고다시스캔해보세요. exit.hhr.oshit 파일은다음경로에있습니다. 윈도우 XP : C:\Documents and Settings\<username>\Application Data 윈도우 7/8 : C:\Users\<username>\AppData\Roaming 사용방법 1. 노모어랜섬홈페이지에서 RakhniDecryptor.exe 파일을다운로드하세요. 2. 감염된컴퓨터에서 RakhniDecryptor.exe 파일을실행하세요. 3. 실행화면에서 Change parameters( 인자값바꾸기 ) 를클릭하세요. - 7 -

4. Settings 창에서스캔할대상을선택하세요 (hard drives( 하드드라이브 )/ removable drives( 이동식디스크 )/ network drives( 네트워크드라이브 ) 중선택 ) 5. Delete crypted files after decryption( 복구후기존암호화파일삭제 ) 체크박스를선택하세요 ( 선택시복구작업완료후.locked,.kraken,.darkness 확장자로암호화되어있었던사본파일을삭제합니다 ). 6. OK 를클릭하세요. 7. Start Scan( 스캔시작 ) 을클릭하세요. - 8 -

8. Specify the path to one of encrypted files ( 암호화된파일경로찾기 ) 창에서복원을원하는파일을선택하고 Open( 열기 ) 를클릭하세요. 9. 이후프로그램이암호를분석합니다. Warning!( 주의! 패스워드복구는상당한시간이소요될수있습니다 ( 수일까지도소요 ). 해당프로그램과컴퓨터를종료하지마세요 ) 창에서 OK를클릭하세요. 10. 프로그램이파일복구를완료할때까지기다리세요 ( 작업완료시까지 프로그램및컴퓨터를종료하지마세요 ). - 9 -

2 Rannoh 복구프로그램 제작 : Kaspersky Lab 적용가능한랜섬웨어 Autoit Cryakl Crybola CryptXXX v1~3 랜섬웨어명 Fury Marsjoke aka Polyglot Rannoh 사용방법 1. 노모어랜섬홈페이지에서 RannohDecryptor.zip 파일을다운로드하세요. 2. RannohDecryptor.exe 파일을감염된컴퓨터에서실행하세요. 3. 메인창에서 Start scan( 스캔시작 ) 을클릭하세요. 이도구는파일복구키를자동으로산출하나실패할시, 암호화된파일에대응하는원본파일 ( 감염전파일 ) 이한개이상필요합니다. 이후다른암호화된파일들은자동으로복구됩니다. 스캔시작전실행중인문서가있으면저장하세요. - 10 -

4. 암호화된파일의경로를묻는창이뜨면, 암호화된파일중하나와해당파일의암호화전원본파일을선택하세요. 5. 파일이찾아질때까지기다렸다가복구하세요. 6. 필요시에는컴퓨터를재부팅하세요. 7. 성공적으로복구가된후에 locked- 파일이름. 랜덤문자열 으로명명된암호화된파일을삭제하기위해 Delete encrypted files after decryption ( 복구후기존암호화파일삭제 ) 옵션을선택하세요. 이옵션선택시복구된파일은원래이름대로저장됩니다. 8. 프로그램의로그는시스템디스크에저장됩니다 ( 운영체제가설치된곳 ). 로그파일이름은도구이름. 버전 _ 날짜 _ 시간 _log.txt입니다. ( 예시 : C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt) CryptXXX v2로암호화된파일을선택할경우, 암호화키를찾는작업은보다오래걸릴수있습니다. 이때프로그램은아래메시지를보여주게됩니다.( 내용 : 키복구작업에시간이많이소요될수있습니다. 프로그램과컴퓨터를종료하지마세요 ) - 11 -

3 Emsisoft 복구프로그램 제작 : Emsisoft 적용가능한랜섬웨어 Alcatraz Amnesia v1, 2 Cry128 Cry9 CryptON Damage FenixLocker Globe v1~3 랜섬웨어명 Globelmposter Gomasom Marlboro MRCR Nemucod Nmoreira Ozozalocker Philadelphia 사용방법 중요! 랜섬웨어가다시시스템을잠그거나파일을암호화하지않도록복구작업전에랜섬웨어제거여부를백신등으로확인해야합니다. 만약시스템이윈도우원격데스크톱기능을통해감염되었을경우, 원격로그인이허용된모든사용자들의비밀번호를변경하고, 해커가계정을추가했을수있으니로컬사용자계정들을점검하는것을권고합니다. 이복구프로그램은암호키복구를위해암호화된파일과암호화되기전원래파일한쌍이필요합니다. 원본파일과암호화된파일의이름을변경하지마세요. 파일복구방법 1. 복구프로그램을노모어랜섬사이트에서다운로드하세요. 2. 다운로드한후에파일쌍을선택하고, 드래그 & 드랍방식으로옮기세요. 3. 복구프로그램에필요한복호화키복원을시작합니다. 랜섬웨어종류에따라 다수의시간이소요될수도있습니다. - 12 -

4. 복호화키를찾는과정이완료되면상세내역을보여줍니다. 5. 다음에표시되는조항 ( 이소프트웨어는결과에대한일체의보증을하지 않으며, 사용으로인한어떠한책임도지지않음 ) 에동의하면 Yes( 네 ) 버튼을누릅니다. 6. 계약조항에동의하면, 프로그램창이열립니다. - 13 -

7. 해당프로그램은복구실행위치를현재연결된드라이브및네트워크드라이브로기본선택합니다. 다른위치는 "Add folder( 폴더추가 )" 버튼을클릭하여추가할수있습니다. 드래그및드롭방식으로도파일들을추가할수있습니다. 8. 랜섬웨어종류에따라다양한옵션들을제공합니다. 제공되는옵션들은 Options 탭에있으며거기에서활성화또는비활성화될수있습니다. 자세한옵션목록은아래 < 제공되는옵션들 > 부분에서확인할수있습니다. 9. 복구하려는모든위치를추가한후에 Decrypt( 복구 ) 를클릭하여복구를시작하세요. 아래와같이상태창으로이동해서파일복구과정을보여줄것입니다. - 14 -

10. 프로그램이복구과정이종료되면알려줄것입니다. - Save log( 로그저장 ) 버튼을클릭하여작업내역을저장할수있습니다. 또한, 내용을복사해서이메일, 게시물등에사용할수도있습니다. < 제공되는옵션들 > 이복구프로그램은다음옵션이있습니다. - 암호화된파일보관랜섬웨어는파일에대한정보를저장하지않기때문에, 복구된데이터가암호화된파일과동일한지여부를알수없습니다. 따라서복구이후에도암호화된파일을제거하지않는옵션이기본으로설정되어있습니다. 암호화된파일을제거하려면, 이옵션을해제하세요. 디스크공간이부족한경우에도이옵션을해제하면됩니다. - 15 -

4 BarRax 복구프로그램 제작 : Check Point 적용가능한랜섬웨어 - BarRax 랜섬웨어 사용방법 1. BarRax 랜섬웨어에감염시다음과같은문구를보게됩니다. 2. 이문구에서는가장아래의링크 (http://barrax.tk/forumdisplay.php?fid=39) 에서복구프로그램을무료로제공한다고표시되어있으나, 현재해당웹페이지는접속할수없습니다. 3. BarRax 복구프로그램을다운로드하세요. 4. BarRax_Decryptor.zip의압축을해제합니다. 5. BarRaxDecryptor.exe 파일을실행하세요. 6. 아래화면과같은명령창이실행됩니다. - 16 -

7. 복구과정이완료되면, 다음메시지중하나가표시됩니다. 1) 성공시아래와같은메시지가출력됩니다. 2) 실패시아래와같은메시지가출력됩니다. - 17 -

5 Avast 복구프로그램 제작 : Avast 적용가능한랜섬웨어 AES_NI BTCWare Crypt888 랜섬웨어명 HiddenTear Noobcrypt 사용방법 1. avast_decryptor_ 랜섬웨어명.exe 파일을다운로드하고 ( 노모어랜섬사이트에서 다운로드버튼클릭시자동다운로드 ), Run( 실행 ) 을클릭하세요. 혹은 PC 에저장한뒤, 나중에 avast_decryptor_globe.exe 아이콘을더블 클릭하여프로그램을실행하세요. 2. Windows protected your PC( 윈도우가여러분의 PC 를보호했습니다 ) 창이 실행되면, More info( 추가정보 ) 를클릭한뒤 Run anyway( 무시하고실행 ) 를 클릭하세요. - 18 -

3. Welcome 화면상에서, Next 를클릭하세요. 4. 제공되는버튼 ( 로컬디스크추가 / 네트워크장치추가 / 폴더추가 ) 을사용하여 복구하고자하는파일을찾은뒤, Next 를클릭하세요 : - 19 -

중요 : 다음의 3 단계 (5 번 ~ 7 번 ) 는복호화작업을해야할경우만적용됩니다. 암호를복호화하지않아도될경우는 8 단계로바로이동합니다. 5. 암호화된파일과원본파일의위치를입력한뒤, Next 를클릭하세요. 주의 : 암호를풀기위해서는원본파일및암호화된파일이모두필요합니다. 원본은주로다음중한곳에서찾을수있습니다 : - ( 백업했을시 ) 클라우드또는플래시드라이브, 기타외부저장장치 - 인터넷이나기타 PC에서다운로드할수있는표준윈도우사운드또는사진 ( 예. 바탕화면사진 ) - 이메일로수신또는발송했던문서, 사진및비디오 6. 암호복구를시작하려면 Start를클릭하세요. 주의 : 이과정은 PC에서많은자원을소모하므로, 필요시 Pause를클릭하여일시정지하세요. - 20 -

7. Password 창에복구된암호가나타나면 Next 를클릭하세요. - 21 -

8. 다음중원하는항목을체크한후, Decrypt( 복구 ) 를클릭하세요 : - Backup encrypted files: 암호화된파일들을백업 - Run the decryption process as an administrator: 관리자권한으로복구작업실행 ( 관리자권한으로접근가능한파일들복구가능 ) 9. 복구작업이완료된후작업내역을보려면 Show Log( 작업내역보기 ) 를 클릭하고, 종료하려면 Close( 닫기 ) 를클릭하세요. - 22 -

6 Popcorn 복구프로그램 제작 : Elevenpaths 적용가능한랜섬웨어 - Popcorn 랜섬웨어 사용방법 1. RecoverPopCorn.zip 파일을다운로드하세요. 2. 감염된컴퓨터에서 RecoverPopCorn.exe 파일을실행하세요. 3. 가장흔한 Popcorn 랜섬웨어변종에감염됐다면, Local path to the ransomware( 랜섬웨어가위치한경로 ) 항목이자동으로입력될것입니다. 자동으로입력되지않는다면랜섬웨어파일의위치를 File...( 파일경로찾기 ) 항목에서직접선택해야합니다. 4. Get decryption code( 복호화키얻기 ) 를클릭하면, 아래에문자열이표시됩니다. 5. 이를복사해서랜섬웨어감염창에붙여넣으세요. 6. 랜섬웨어가파일의암호를모두복호화할때까지기다리세요. 랜섬웨어는자가삭제되지만, 일부가능성을대비해백신으로검사해보세요. - 23 -

위과정으로파일이복호화되지않으면, 해당변종은이프로그램으로복구 가능한랜섬웨어가아닙니다. 추가도움이필요하면 www.elevenpaths.com 에 접속하세요. - 24 -

7 Derialock 복구프로그램 제작 : CheckPoint 적용가능한랜섬웨어 - Derialock 랜섬웨어 주의점 1. 복구과정을시작하기전하드디스크를백업하는것을추천합니다. 2. 여러분의 PC에서안전모드 (Safe mode) 에진입하는방법을숙지해야합니다. 주의 : 안전모드진입에실패할경우, 모든파일이삭제됩니다. 3. Check Point는해당프로그램의사용결과에어떠한책임도지지않습니다. 사용방법 1. 안전모드로진입하여부팅하세요. 2. C:\users\%user name%( 설정한사용자이름 )\appdata\roaming\microsoft\windows\start menu\programs\startup\ 폴더로들어가서, LOGON.exe 혹은 SystemLock.exe 파일을찾아삭제하세요 ( 이들파일의수정한날짜는감염날짜로되어있을것입니다 ). 3. 컴퓨터를재시작하세요. 4. 복구프로그램을다운로드받아서실행하세요. 5. I PAY GET MY FILES BACK NOW!( 파일되찾기 ) 버튼을클릭하세요. <DeriaLOCK 감염화면 > - 25 -

8 PHP 랜섬웨어복구프로그램 제작 : CheckPoint 적용가능한랜섬웨어 - PHPware 랜섬웨어 사용방법 - 감염된기기에복구프로그램을다운로드하여실행시, 해당프로그램이감염된파일을찾아복구합니다. 9 WildeFire 랜섬웨어복구프로그램 제작 : Kaspersky Lab, Intel Security 적용가능한랜섬웨어 - WildFire 랜섬웨어 사용방법 1. WildfireDecryptor.zip 파일을열고압축을해제하세요. 2. WildfireDecryptor.exe 파일을실행하세요. 3. 실행화면에서 Change parameters( 매개변수변경 ) 를클릭하세요. - 26 -

4. Settings 창에서스캔할대상을선택하세요 (hard drives( 하드드라이브 )/ removable drives( 이동식디스크 )/ network drives( 네트워크드라이브 ) 중선택 ) 5. OK 를클릭하세요. 6. Start Scan( 스캔시작 ) 을클릭하세요. - 27 -

7. Specify the path to one of encrypted files ( 암호화된파일경로찾기 ) 창에서복원을원하는파일을선택하고 Open( 열기 ) 를클릭하세요. 8. 스캔작업에대한정보를확인하려면, Details( 상세정보 ) 를클릭하세요. 9. 작업상세내역을확인하려면, 창우측상단의 Report( 보고서 ) 를클릭하세요. - 28 -

10 Shade 복구프로그램 제작 : Kaspersky Lab, Intel Security 적용가능한랜섬웨어 - Shade 랜섬웨어 사용방법해당프로그램은데이터베이스에서복구키를검색합니다. 데이터베이스에키가있는경우파일이복구되나, 데이터베이스에키가없는경우, 서버에추가키를찾는요청을발송합니다. 이를위해인터넷접속이필요합니다. 파일복구방법 : 1. ShadeDecryptor.zip 압축파일을다운로드받고파일압축프로그램 ( 예. 7zip) 을사용하여압축을해제하세요. 2. ShadeDecryptor.exe 파일을더블클릭하세요. 3. 사용자계정제어 (User Account Control, UAC) 창에관리자암호를입력하고 Yes( 네 ) 를클릭하세요. 4. Kaspersky ShadeDecryptor 창에서 Change parameters( 인자값바꾸기 ) 를클릭하여스캔범위를지정하세요. - 29 -

5. Settings 창에서스캔할대상을선택하세요 (hard drives( 하드드라이브 )/ removable drives( 이동식디스크 )/ network drives( 네트워크드라이브 ) 중선택 ) 6. OK 를클릭하세요. - 30 -

7. Start scan( 스캔시작 ) 을클릭하세요. 8. Specify the path to one of encrypted files ( 암호화된파일경로찾기 ) 창에서복원을원하는파일을선택하세요. 9. Open( 열기 ) 를클릭하세요. 10. 프로그램이감염정보를식별할수없는경우, 아래와같은 readme.txt 파일이있는경로를요청합니다. 11. 스캔작업에대한정보를확인하려면, Details( 상세정보 ) 를클릭하세요. 12. 작업내역을보려면, 창우측상단에있는 Report( 보고서 ) 를클릭하세요. - 31 -

11 CoinVault 복구프로그램 제작 : Kaspersky Lab, Intel Security 적용가능한랜섬웨어 - Coinvault, BitCrytor 랜섬웨어 사용방법 1. CoinVaultDecryptor.zip 파일을다운로드한뒤압축을해제하세요. 2. CoinVaultDecryptor.exe 파일을더블클릭하세요. 3. 프로그램의메인화면에서 Start Scan( 스캔시작 ) 버튼을누르세요. 4. "File Selection( 파일선택 )" 창이뜹니다. 대개 CoinVault 랜섬웨어감염후남겨지는 filelist.cvlst 라는명칭의파일을찾아야합니다. 5. Open( 열기 ) 을클릭하세요. 6. filelist.cvlst 파일을찾을수없는경우, 복구를위해암호화된모든파일을하나의폴더상에넣어야합니다. 프로그램은해당폴더의모든파일이암호화되어있다고가정하고복구를시도합니다. 7. 이모드로작동하기위해서는프로그램메인화면에서 Change Parameters( 인자값바꾸기 ) 버튼을클릭한뒤, Folder with Encrypted Files( 암호화된파일이있는폴더 ) 옵션을선택해야합니다. - 32 -

8. 프로그램이키검색에적합한암호화된파일을찾아모든단일 CoinVault 키를각각대입하여개인키를찾고, 제공된모든파일을복구합니다. 9. 프로그램은기본적으로파일명에 decryptedklr 를추가하여파일명을변경합니다 : Somefile.doc Somefile.decryptedKLR.doc 10. 9번의파일명변경과정을원하지않는다면, Change Parameters( 매개변수변경 ) 아래추가매개변수가있습니다 : Replace encrypted files with decrypted ones( 복구된파일로암호화된파일대체하기 ) 옵션을선택하면, 암호화된파일들이원본이름으로복구됩니다. - 33 -

12 Jigsaw 복구프로그램 제작 : Check Point 적용가능한랜섬웨어 - Jigsaw 랜섬웨어 사용방법 1. Jigsaw 랜섬웨어에감염되면다음과같은랜섬노트를받습니다. 2. Jigsaw 복구프로그램을다운로드하세요. 3. JPS.zip 파일의압축을푸세요. 4. Jigsaw Puzzle Solver 폴더에서 JPS.exe 를우클릭한뒤, run as administrator( 관리자권한으로실행 ) 를클릭하세요. - 34 -

5. 화면에표시된과정을따라하세요. 6. JPS.exe를실행하면, 복구프로그램이백그라운드에서실행됩니다. 랜섬노트로돌아가서노란색버튼 돈을지불했으니파일을돌려주세요 (I made a payment, now give me back my files) 을클릭하면, 무료복구과정이실행됩니다. 7. 랜섬웨어가직접파일복구를하며, 파일을다시이용할수있을것입니다. - 35 -

13 TM 랜섬웨어복구프로그램 (TM Ransomware File Decryptor) 제작 : Trend Micro 적용가능한랜섬웨어 랜섬웨어명 감염파일확장자 랜섬웨어명 감염파일확장자 CryptXXX v1~v3.crypt, cryp1, crypz, 혹은 XORBAT.crypted 5자리 16진수 CryptXXX v4, v5 5자리 16진수 CERBER V1.cerber Crysis.xtbl,.crypt Stampado.locked TeslayCrpyt v1.ecc Nemucod.crypted TeslayCrpyt v2.vvv, CCC, ZZZ, AAA, ABC, XYZ Chimera.crypt TeslayCrpyt v3.xxx or TTT or MP3 or MICRO LECHIFFRE.Lechiffre TeslayCrpyt v4 - MirCop Lock. 원본파일명 SNSLocker.RSNSLocked Jigsaw 랜덤문자열 AutoLocky.locky Globe/Purge v1 :.purge v2 : 이메일주소 + 임의문자열 v3 : 임의문자열혹은파일이름 BadBlock - DXXD dxxd 777.777 Teamxrat/Xpan.xratteamLucked XORIST.xorist 혹은임의문자열 Crysis.xtbl,.crypt TeleCrypt - DemoTool.demoadc WannaCry (WCRY) 사용방법.WCRY 또는.WNCRY 1. 아래주소 ( 혹은노모어랜섬홈페이지 ) 에접속해프로그램을다운로드하세요. - https://success.trendmicro.com/solution/1114221( 접속자의위치정보수집을 허용해야접속이가능하며, 접속지역을묻는창이나타남 ) - 아래아이콘을찾아클릭합니다 ( 전체페이지에서중간부분위치 ). - 36 -

이후압축을풀고 RansomwareFileDecryptor.exe 파일을실행하세요. 2. 진행하려면사용자라이선스협약 (End User License Agreement) 에동의해야합니다. 3. 동의시프로그램이메인화면으로이동합니다. 여기부터파일복구를위한단계별절차를볼수있습니다. 4. 아래의창에서감염된랜섬웨어종류를선택하세요. - 대부분의랜섬웨어는피해자에게시스템이특정유형의랜섬웨어에감염되었음을알리는텍스트파일이나 html 파일을포함합니다. 피해자는이를이용해랜섬웨어종류를알수있습니다. - 37 -

주의 : 랜섬웨어명칭을모릅니다 (I don't know the ransomware name) 옵션을선택시, 복구할파일의파일서명을토대로랜섬웨어종류를자동으로파악합니다. 5. 아래창에서복구할파일이나폴더를선택하세요. - 해당프로그램은재귀 (recursive) 모드를사용하여단일파일이나하나의폴더및그하위폴더들내의모든파일들을복구할수있습니다. 복구를시작하려면, Select & Decrypt( 선택및복구 ) 를클릭하여폴더나파일을선택하고 OK를클릭하세요. 6. 파일이나폴더를선택하면, 프로그램이자동으로파일스캔및복구를 시작합니다. - 38 -

- 스캔대상이폴더인경우, 프로그램은우선복구할파일을파악하기위해대상폴더에서몇가지파일정보를수집합니다. 스캔이진행되는동안, 진행률과복구된파일개수가표시됩니다. - 이프로그램은특정유형의랜섬웨어감염파일 ( 예 : TeslaCrypt) 들을신속히복구할수있습니다. 반대로일부랜섬웨어는 ( 예 : CryptXXX) 상당히장시간이소요될수있습니다. 소요시간은대상파일의양에도좌우됩니다. - 스캔도중 Stop을클릭하면아래화면과같이복구가중단됩니다. 7. ( 선택 ) CyptXXX V1, XORIST, XORBAT 또는 Nemucod 랜섬웨어복구 - 위랜섬웨어들은복구에필요한몇가지고유절차가있어사용자에게 추가정보를요청합니다. - click here( 여기를클릭하세요 ) 옵션을선택하면새창이뜹니다. 사용자는여기에서아래그림과같이감염된파일과이에대응하는원본 파일한쌍을선택해야합니다 ( 이때파일사이즈가클수록더좋습니다 ). - 39 -

역주 : 백업된파일이없을때는인터넷에서쉽게구할수있는윈도우 기본사진샘플이암호화되었는지, 이메일등으로전송했던 파일이없는지등을확인해보세요. 8. 스캔및복구프로세스가완료되면, 복구결과가표시됩니다. - See encrypted files( 암호화된파일보기 ) 를클릭하면, 프로그램은암호화된파일을저장한위치를엽니다. 복구된파일명은암호화된파일과동일하나랜섬웨어에의해추가됐던확장자는없어집니다. - 파일명이변경되지않은채암호화된파일의경우, 복구된파일명은 { 원본파일명 }decrypted.{ 확장자 } 가됩니다. - Done( 완료 ) 을클릭하면, 프로그램이메인창으로돌아갑니다. 추가파일들을복구하려면앞단계를반복하세요. - 40 -

<CryptXXX v3 랜섬웨어복구시주의점 > 이랜섬웨어의경우, 향상된암호화기술을사용하고있어현재로서는자료부분복구만이가능합니다. 복구프로그램은복구시도이후에 DOC, DOCX, XLS, XLSX, PPT, PPTX 등특정파일들의확장자를수정합니다. 수정된파일은기존파일이름에 _fixed 라는확장자를붙여동일한위치에저장됩니다. 이파일들을 MS오피스로실행하면, 파일을수정해야한다는메시지가나타날수있고이과정에서문서가복원될수있습니다. 그러나 MS 오피스의버전과개별적인파일속성에따라복원에실패할수도있습니다. 자료부분복구이후에별도의복구프로그램 ( 오픈소스프로그램인 JPEGSnoop 등 ) 을사용해전체복구를시도해볼수있습니다. 예를들어, 사진이나이미지파일의경우이미지의일부만보여주고, 전체가복구되지않을수있습니다. 이러한경우다른복구프로그램을사용하거나, 다른랜섬웨어복구서비스를이용할지등을결정해야합니다. 단, TrendMicro 에서는다른업체의파일복구와관련한기술지원이어렵습니다. < 원본이미지 (CryptXXX v3 감염전 )> < 부분복구후이미지 > <BadBlock 랜섬웨어복구시주의점 > BadBlock 랜섬웨어는감염되면중요시스템파일을암호화하여재부팅이후에운영체제가제대로실행되지못하는등의문제를발생시킵니다. 이러한민감한파일들때문에, 파일복구시기존암호화된 PE파일 ( 실행파일 ) 들의이름에 _bbbak 를붙여백업합니다. 복구후에원본 PE 파일들의이름은저장됩니다. PE파일이아닐경우원본파일의이름에 _decrypted 를붙여설정됩니다. - 41 -

BadBlock 랜섬웨어는다양하게시스템에영향을미치기때문에, 복구프로그램도여러방법으로랜섬웨어를복구합니다. 1. 시스템이감염된이후에재부팅을하지않은경우, 복구프로그램을실행해서암호화된파일들을복구할수있습니다. 2. 감염이후에시스템을재부팅했으나정상적으로부팅이되지않는경우, 윈도우복구디스크등을이용해정상부팅단계로진입후에복구프로그램을실행해야합니다. 3. 시스템운영체제가 2번의방법으로복구되지않는경우, 감염된하드디스크를물리적으로분리하여다른시스템에마운트한후에복구프로그램을실행해보세요. <Cerber 랜섬웨어복구시주의점 > * 역주 : 여기서제공하는복구프로그램은.cerber 확장자로파일을암호화하는 Cerber 초기버전에한정된것으로, 최근버전의 Cerber 랜섬웨어는아직복구프로그램이개발되지않았습니다. Cerber( 케르베르 ) 랜섬웨어복구프로그램은계산작업을위해처음감 염된파일의위치를참고해야하므로, 반드시감염된컴퓨터내에서실행 해야합니다. 복구방법상의이유로복구작업은표준인텔 i5 듀얼코어 CPU 에서수시간 ( 평균 4 시간가량 ) 이소요됩니다. 또한 Cerber 랜섬웨어가사용하는암호화방법은그의복잡성때문에 CPU 에코어가많을수록복구확률이떨어지게됩니다. 다른랜섬웨어복구와마찬가지로, 일부파일은부분적으로만복구될수 있으며, 감염된파일과함께그의원본파일쌍을요구할수있습니다. <Globe/Purge 랜섬웨어복구시주의점 > 이랜섬웨어에감염된파일을복호화할때는무작위대입방식을사용하므로, 복구과정에 20시간이상이소요될수있습니다. 평균복구시간은 4코어 CPU의경우 10시간에서, 단일코어의경우 30시간까지소요됩니다. - 42 -

또한, 복구는랜섬웨어에감염되었던 PC 에서만진행할수있고, FAT32 파일시스템상의파일은랜섬웨어자체의버그로복구하지못합니다 ( 랜섬 웨어제작자가만든복구프로그램도동일함 ). <WannaCry 랜섬웨어복구시주의점 > 이프로그램에서는메모리에존재하는랜섬웨어의개인키를찾습니다. 따라서랜섬웨어프로세스가현재작동하고있을때만유효합니다. 감염된컴퓨터가재부팅되었다면랜섬웨어프로세스가중단되었기때문에메모리에영향을미쳐복호화가실패할수있습니다. 따라서해당복구프로그램을사용하기전에시스템을재부팅하지않는것이매우중요합니다. 개인키에관계된소수 (Prime number) 가메모리에얼마동안남아있을지는알수없기때문에, 감염직후에최대한신속히복구프로그램을실행하는편이좋습니다. 내부테스트결과, 윈도우 XP에서다른버전보다높은성공률을보였습니다. 다만, 이결과는사용자에따라다를수있습니다. < 기타주의점과한계 > - TeslaCrypt v1, v2 복구프로그램은별도로있습니다. - CryptXXX v2, v3 복구프로그램은평문텍스트파일을지원하지않습니다. - CryptXXX v3 복구프로그램은압축파일이나 13MB가넘는파일의복구는지원하지않습니다. - ( 중요 ) CryptXXX v3로암호화된파일은완전복구가불가능합니다 ( 부분복구 ). - CryptXXX v4,v5 복구프로그램은원본파일이름으로복원하지못할수있습니다. 각파일에대한복구과정은 2시간이상소요될수있습니다. - LeChiffre 복구는기기명과사용자이름이필요하기때문에반드시감염된기기내에서이뤄져야합니다. - 43 -

14 Stampado 복구프로그램 (Stampado Decryptor) 제작 : Emsisoft 적용가능한랜섬웨어 - Stampado 랜섬웨어 사용방법중요! 만약시스템이윈도우원격데스크톱기능을통해감염되었을경우, 원격로그인이허용된모든사용자들의비밀번호를변경하고, 해커가계정을추가했을수있으니로컬사용자계정들을점검하는것을권고합니다. 해당복구프로그램은복호화에필요한암호화매개변수들을얻기위해원본랜섬웨어가필요합니다. 따라서랜섬웨어를제거하기전에표시된이메일이나 ID를적고, 악성코드사본을보관해야합니다. 파일복구방법 1. 복구프로그램을노모어랜섬사이트에서다운로드하세요. 2. 더블클릭하여복구프로그램을실행하세요. 3. 소프트웨어라이선스조건이뜨면 "Yes" 버튼을클릭해동의해야합니다. - 44 -

4. 라이선스조건수락시, 메인화면으로이동합니다. 5. 해당프로그램은복구실행위치를현재연결된드라이브및네트워크드라이브로기본선택합니다. 다른위치는 "Add( 추가 )" 버튼을클릭하여추가할수있습니다. 드래그 & 드롭방식으로도파일들을추가할수있습니다. 6. Options( 옵션 ) 탭으로이동하여랜섬웨어감염시할당된이메일과 ID를입력하세요. 7. 이메일과 ID 외에도랜섬웨어에서사용하는난수값 (Salt number) 이필요합니다. 랜섬웨어가활성화상태라면, "Detect ( 탐지 )" 버튼을클릭하고암호화된파일을지정해서해당값을자동으로얻을수있습니다. 랜섬웨어가비활성화상태인경우, 악성파일사본을 nomoreransom@emsisoft.com 에보내면해당하는난수값을받을수있습니다. 8. 복구하려는모든위치를추가한후에 Decrypt( 복구 ) 를클릭하여복구를시작하세요. 아래와같은상태창에서파일복구과정을보여줍니다. - 45 -

9. 복구과정이종료되면결과를보여줍니다. - Save log( 로그저장 ) 버튼을클릭하여작업내역을저장할수있습니다. 또한, 내용을복사해서이메일, 게시물등에사용할수도있습니다. < 제공되는옵션들 > 이복구프로그램은다음옵션들이있습니다. - 암호화된파일보관랜섬웨어는파일에대한정보를저장하지않기때문에, 복구된데이터가암호화된파일과동일한지여부를알수없습니다. 따라서복구이후에도암호화된파일을제거하지않는옵션이기본으로설정되어있습니다. 암호화된파일을제거하려면, 이옵션을해제하세요. 디스크공간이부족한경우에도이옵션을해제하면됩니다. - 46 -

15 Linux.Encoder 복구프로그램 제작 : Emsisoft 적용가능한랜섬웨어 - Linux.Encoder.1, Linux.Encoder.3 랜섬웨어 사용방법 <LINUX.Encoder.1> 먼저노모어랜섬사이트에서복구프로그램을다운로드하고, 원하는위치에압축을해제하세요. 이때어떤파일도삭제해서는안됩니다. 역주 : 현재다운로드링크오류중으로조치예정 이후다음단계를진행하세요 : 1. sort_files.sh / > sorted.list 명령어를실행하여암호화시간에따라정렬된암호화파일목록을받으세요. * 주의 : 데이터가가상머신상에있다면 sort_files.sh /path/to/vm/partition 명령어를실행하세요. 2. 다음명령어를사용해서해당목록의첫번째파일 (X.encrypted 형태 ) 을복구대상으로설정합니다 (head -1 sorted.list). 3../decrypter.py f /path/to/x( 해당파일이름입력 ).encrypted 명령어를입력해시드를찾으세요. 4. 시드가있다면, 안전하게파일을복구할수있습니다. 다음명령어를실행하세요./decrypter.py -s <seed> -l <sorted.list> -e <error.list> 5. 복구가제대로되었는지확인하고.encrypted 파일을제거하세요. * 주의 : 랜섬웨어는파일권한 ( 사용자 / 그룹 ) 설정을보존하지않으므로이로인해손상되는파일이있을수있습니다. 6. 복구되지않은파일이있다면, <error.list> 로나타날것입니다. 이경우, <error.list> 를사용하여 2번 ~5번단계를다시진행해야합니다. - 47 -

실행예시 : # bash decrypter/sort_files.sh > sorted_list # head -1 sorted_list 1447255617.0000000000./d/home/user/.bash_logout.encrypted python decrypter/decrypter.py -f./d/home/user/.bash_logout.encrypted [*] Seed: 1447255617 python decrypter/decrypter.py -s 1447255617 -l sorted_list -e error_list... [FAILED]./d/usr/share/doc/mlocate/README.encrypted [OK]./d/usr/share/doc/mlocate/TODO.Debian.encrypted [OK]./d/usr/share/doc/readline-common/changelog.Debian.gz.encrypted [FAILED]./d/usr/share/doc/readline-common/copyright.encrypted [FAILED]./d/usr/share/doc/readline-common/inputrc.arrows.encrypted [OK]./d/usr/share/java/libintl.jar.encrypted [*] recovered 7572 files [*] failed to recover (probably bad seed) 9424 files [*] 36 corrupted (probably truncated) files 9424개파일들이여전히암호화된상태이므로복구과정반복 # head -1 error_list 1447255625.0000000000./d/home/README_FOR_DECRYPT.txt.encrypted # python decrypter/decrypter.py -f./d/home/readme_for_decrypt.txt.encrypted [*] Seed: 1447255625 # python decrypter/decrypter.py -s 1447255625 -l error_list -e error_list2... [FAILED]./d/usr/share/doc/mlocate/changelog.gz.encrypted [OK]./d/usr/share/doc/mlocate/NEWS.gz.encrypted [FAILED]./d/usr/share/doc/mlocate/README.encrypted [FAILED]./d/usr/share/doc/readline-common/copyright.encrypted [OK] - 48 -

./d/usr/share/doc/readline-common/inputrc.arrows.encrypted [*] recovered 5000 files [*] failed to recover (probably bad seed) 4424 files [*] 0 corrupted (probably truncated) files 4424개파일들이여전히암호화된상태이므로과정반복 # head -1 error_list2 1447255634.0000000000./d/root/test/size_10028.encrypted # python decrypter/decrypter.py -f./d/root/test/size_10028.encrypted [*] Seed: 1447255634 # python decrypter/decrypter.py -s 1447255634 -l error_list2 -e error_list3... [OK]./d/usr/share/doc/libsqlite3-0/changelog.html.gz.encrypted [ O K ]./d/usr/share/doc/linux-image-2.6.32-5-amd64/changelog.debian.gz.encrypted [OK]./d/usr/share/doc/locales-all/copyright.encrypted [OK]./d/usr/share/doc/lsb-base/copyright.encrypted [OK]./d/usr/share/doc/mlocate/AUTHORS.encrypted [OK]./d/usr/share/doc/mlocate/changelog.gz.encrypted [OK]./d/usr/share/doc/mlocate/README.encrypted [OK]./d/usr/share/doc/readline-common/copyright.encrypted [*] recovered 4424 files [*] failed to recover (probably bad seed) 0 files [*] 0 corrupted (probably truncated) files 복구완료!

<LINUX.Encoder.3> 복구프로그램을다운로드하세요. 해당랜섬웨어는암호화방법의결함으로, 복호화키가각암호화된파일내에내장되어있습니다. 복구프로그램실행후다음과같이명령어를입력하면됩니다 ( 파일경로및이름변경필요 ). python encoder_3_decrypter.py /var/www/index.php.encrypted - 50 -

16 EncrypTile 복구프로그램 제작 : Avast 적용가능한랜섬웨어 - Encryptile 랜섬웨어 사용방법해당랜섬웨어는실행되는동안이를제거하려는프로그램을차단하는기능을보유하고있어, 감염된파일을성공적으로복구하려면다음과정을거쳐야합니다. 1. 복구프로그램을다운로드해서 PC에저장하세요. 2. 복구프로그램을복사 (Ctrl+C) 및붙여넣기 (Ctrl+V) 해서사본을만드세요. 3. 사본의이름을다음중하나로변경하세요 : notepad, lsass, mspaint, osk 파일이름을변경했다면, 복구프로그램을실행하세요. - 51 -

4. 프로그램의안내문구를따라하세요. 마지막단계에서 Run the decryption process as administrator( 복구과정을관리자권한으로실행 ) 의 체크표시를해제하고, Decrypt( 복구 ) 를클릭하세요. 5. 복구프로그램이동작중인랜섬웨어를제거합니다. 다음창이나타나면 PC 를재부팅하세요. 6. 재부팅한후에는랜섬웨어감염화면이더이상나타나지않는것이정상이나, 간혹바탕화면이감염상태그대로표시될수있습니다. 이경우기본설정으로복구프로그램을다시실행하면, 배경화면이원상복구될것입니다. - 52 -

17 MacRansom 복구프로그램 제작 : TrendMicro 적용가능한랜섬웨어 - MacRansom 랜섬웨어 사용방법 1단계 : 복구대상파일 / 폴더를선택하세요메인화면에서드래그 & 드랍방식으로파일이나폴더를선택할수있습니다. + 모양을클릭해서선택할수도있습니다. - 53 -

2 단계 : 파일복구 파일을선택하면, 프로그램이자동으로복구과정을실행합니다. View in Finder( 탐색기로보기 ) 버튼을클릭하면, 복구파일 폴더가위치한 디렉토리를보여줍니다. 복구된파일은 원본파일명.decrypt. 원본확장자 로 명명됩니다. - 54 -