malware 에 의해 모든 jpg파일이 변형되었는데, 복구할 수 있을까요?1

빠진사랑니
등록일 2015-01-07 07:39
조회수 1513

아예 삭제했으면 복구라도 시도해볼텐데...
HEX editor 로 원본 이미지 파일과 변형된 이미지를 비교해보면
어떠한 패턴없이 모조리 내용만 변형해놨습니다.
5년간 저장해놓은 수십만개의 추억사진이나 작업사진등 전부 변형되었습니다.

수정된 시간을 보니 변형되는데 총 30분 정도 걸렸더군요..
(백그라운드에서 제가 작업하는동안 해킹하듯이 일을 저질러놨더군요)
(최초 c 드라이브의 수정된 사진 시간과 H드라이브의 수정된 사진 시간을 비교해보니 30분정도 차이가 납니다.)
그냥 jpg파일만 변형해놨고 png pcx ...등의 이미지 파일은 이상이 없습니다.
알아보니 jpg 파일 말고도 doc, xlsx 등 오피스 파일도 모두 변형시켜 못쓰게 만들어 버리더군요...

해외에도 nasty 라는 용어를 쓰며 이 멀웨어에 대해 욕을 하던데..
카스퍼스키, 어베스트 등의 포럼을 찾아봐도 악성코드 제거는 가능하지만
손상된 파일들 복구에 대한 속시원한 답변은 못찾겠더군요...

파일이 encrypt 된것을 decrypt 을 해야하는데...
이미 '판다'라는 것도 써보고 카스퍼스키에서 decryption 툴 도 써보고 했는데도
그냥 하루종일 시간만 날리게 되었네요.
혹시 힌트라도 알고 계신분 답변좀 부탁 드립니다. 정말 답답하네요 ㅠ

멀웨어 명은 avast 에서 표기한바로는
Win32:Gen-Malicious-BDO[trj]
Win64:Gen-Malware[trj]
이고 특정 공간에 temp****.exe 파일을 여러개 생성하여 공격합니다.
또하나 걸려있던건 Qoobox 라는거였는데 안전모드에서 간신히 삭제했네요..

사진은 손상전 사진과 손상후의 사진 압축해서 올려봅니다...

파워링크 등록안내

첨부파일

1420583970_picture.zip 다운받은 횟수: 18 [다운로드]



		목록보기

0 legato85

샘플 1개씩만 봐서는 모르겠네요. 악성코드 갖고계시면 디버깅 해서 파일 내용을 어떻게 바꾸는지 확인해보는게 좋을것 같은데요.
아니면 테스트 파일 하나 만들어서 JFIF 포맷만 맞춰놓고 내부 내용을 0으로 채운다음에 일부러 감염시켜서 패턴 확인하는 방법도 있을것 같네요.

2015-01-08 점아이콘

댓글주소복사

알림 욕설, 상처 줄 수 있는 악플은 삼가주세요.
로그인 후 코멘트를 작성하실 수 있습니다.

짤방 사진		익명요구 다른의견