<div><font color="#ff0000">글이 깁니다.</font></div> <div><font color="#ff0000">글을 올리는 이유는 답답한 요즘 시국에 조금이나마 사이다를 드리고 싶은 마음과</font></div> <div><font color="#ff0000">같은 일을 겪으신 분에게 도움이 될까해서 올려봅니다.</font></div> <div><br></div> <div>1. 사건의 시작</div> <div><br></div> <div>며칠전 집 컴을 켜니 두둥..</div> <div> <div style="text-align:left;"><img src="http://thimg.todayhumor.co.kr/upfile/201611/1478074750e49d9aff6b044b86b1b4b77335ecfed0__mn710985__w1920__h1200__f166932__Ym201611.png" width="800" height="500" alt="01.png" class="chimg_photo" style="border:none;" filesize="166932"></div><br></div> <div> <div>C를 제외한 집컴 하드들이 (화면에는 사후에 스샷한거라 2개지만 당한 하드는 총 3개였다) 비트로커로 암호화 되었있었다.</div> <div>나의 하드를 비트로커 암호화한 해커는 1 비트코인(오늘 시세로 84만원 정도)을 </div> <div>전송하면 하드를 풀 수 있는 복호키를 준다는 텍스트 파일을 해커이메일과 함께 남겼다.</div> <div>메일 첫줄에는 이 영문 글을 번역하기 위한 구글 번역 사이트 주소가 있었다.</div> <div><font color="#ff0000">다른 자료들이야 크게 중요하지 않다고 해도 D에 있던 우리가족의 모든 사진들을 다시 볼 수 없게 된다는건 나와 와이프에게 재앙이었다.</font></div> <div>와이프는 약간 울먹이는 것 같았다.</div></div> <div><br></div> <div><br></div> <div><br></div> <div> <div>2. 해결 방법은 ?</div> <div><br></div> <div>비트로커(bitlocker)는 윈도우 엔터프라이즈 버전 이상에 탑재된 기본 기능으로 중요 자료를 암호화 해주는 기술이다.</div> <div><font color="#ff0000">키가 없으면 MS도 풀지못한다. T.T</font></div> <div><font color="#ff0000">요즘 유행하는 랜섬웨어를 통한 방식은 최신 백신에 의해 탐지될 수 있으나 비트로커는 윈도우 기본 기능이기에 백신이 탐지할 수 없다.</font></div> <div><br></div> <div>1) 키파일이 하드나 USB 에 있으면 풀 수 있다.</div> <div>내 하드를 이렇게 만든놈이 하드에 키를 남겨둘리 없다고 생각되었지만 혹시나 해서 관련툴을 가지고 검색해 보았으나 역시나 키는 없었다.</div> <div><br></div> <div>2) 무차별 대입법(brute force) 시도</div> <div>무차별 대입법은 그냥 키를 1을 넣어서 복호화가 되는지 확인해 보고 안되면 2넣고 안되면 3넣고 이렇게 계속 해보는 방식이다.</div> <div>궁금증 1) 비트로커는 최대 몇자리 암호를 받는가 ? 검색해보니 100자리까지 받는듯하다.</div> <div>궁금증 2) 관련툴이 있는가 ? 컴앞에 앉아서 하나씩 넣어볼 수는 없는 노릇이었다.?</div> <div><a target="_blank" href="https://www.passware.com/kit-forensic/">https://www.passware.com/kit-forensic/</a> 과 비슷한 몇가지 툴들이 확인되었다.</div></div> <div><br></div> <div><br></div> <div><br></div> <div> <div>3. 시간은 ?</div> <div><br></div> <div>사실 모든 암호는 풀린다. 인증서 암호도 웹사이트 암호도 몰래 숨겨둔 야동 암호도 풀린다. </div> <div>단 시간이 오래걸릴 뿐이지..</div> <div>1자리 부터 100자리까지</div> <div>각자리에 가능한 입력은 숫자(10) + 영문대소문자구분 (26 *2) + 특수문자 (30) = 92 개</div> <div>92 * 92 * 92 *..... * 92 = 92의 100승정도 되는 것 같았다.</div> <div>집컴 보다 조금더 사양이 좋은 회사컴은 1초당 몇개나 암호를 넣어 체크해볼 수 있을까</div> <div> <div style="text-align:left;"><img src="http://thimg.todayhumor.co.kr/upfile/201611/1478074939a5b137b2c3794021ba3a08d73eaa27cc__mn710985__w633__h521__f66882__Ym201611.png" width="633" height="521" alt="20161102_155203.png" style="border:none;" filesize="66882"></div><br></div> <div>툴을 돌려보니</div> <div>초당 5개</div> <div>92의 100승을 시도하려면 </div> <div><font color="#ff0000">약 292,471,208년 7개월</font></div> <div>길어도 몇년이면 될 줄 알았는데 좌절이었다.</div> <div><br></div> <div>그냥 1 BTC 송금하고 데이터 복구할까 싶었다.</div></div> <div><br></div> <div><br></div> <div><br></div> <div> <div>4. 대안 ?</div> <div><br></div> <div>1)GTX 1080이나 타이탄 같은 카드를 PC에 꼽으면 속도가 초당 5에서 320 으로 증가한다고 한다.</div> <div><a target="_blank" href="http://www.lostpassword.com/hardware-acceleration.htm">http://www.lostpassword.com/hardware-acceleration.htm</a></div> <div><br></div> <div>그거 살 가격이 1 BTC보다 높다는게 함정이다.</div> <div>물론 와이프 눈치안보고 합법적인 컴 업글의 기회이기도 하지만</div> <div>왠지 맞을 것 같았다.</div> <div>툴 가격도 $995 생각해야한다.</div> <div><br></div> <div>속도가 100배 증가해도 292,000,000 년이 292,000 년 되는거 뿐이다.</div> <div><br></div> <div>위풍당당한 회사 서버 8코어 16 스레드 제온에서 돌리면 어떨까 ?</div> <div>하드이미지(500G) 를 회사 서버로 수시간동안 올려 떨리는 마음으로 초당 속도를 체크해본다</div> <div>초당 5개 동일하다 CPU 파워와는 크게 상관없는 것 같다.</div> <div><br></div> <div>3D일을 하고 있는 친구네 회사 시스템이 GTX 1070 을 쓰고 있다는데</div> <div>그 친구 를 꼬셔 그 회사 3D 렌더링을 잠시 멈추고 전체 시스템에섯 각 서버마다 10자리씩 돌려서 해볼까 ?</div> <div><br></div> <div>1080으로 오픈한 PC방을 하루 빌려 각 PC당 10대씩 셋팅해 돌려볼까 ?</div> <div><br></div> <div>그래서 292,471,208년이 10년이내로 줄어들것 같진않았다.</div> <div>그리고 PC방 요금이나 친구를 섭득하는 비용이 더들지 않을까 ?</div> <div><br></div> <div>좌절 그냥 1 BTC 주는게 나은 방법인가</div></div> <div><br></div> <div><br></div> <div><br></div> <div> <div>5. <font color="#ff0000">문득 예전에 본 납치 영화가 떠올랐다.</font></div> <div><br></div> <div>랜섬(ransom)의 뜻도 몸값 아니겠는가</div> <div>납치범과의 통화에서 네고시에터는 협상전에 생존증거를 요구하는 그런 영화였다.</div> <div><font color="#ff0000">그래 해커에게 메일을 보내 생존증거를 요구하면서 스샷을 받아 몇자리 수 인지 체크해보자.</font></div> <div>스샷에의한 자릿수 오차가 좀 있더라도 시간은 많이 단축가능하지 않겠는가</div> <div>짧은 영어 실력이 부끄러웠지만 메일을 보냈다.</div> <div><br></div> <div>이런 메일은 무시할 줄 알았는데 의외로 답변이 왔다.</div></div> <div><br></div> <div> <div>"내컴에 접근할 수 없어서 스샷은 보낼수 없다. 돈 보낸사람들은 모두 암호를 받았으니 걱정말라</div> <div><font color="#ff0000">정원하면 teamviewer id,암호를 주면 원격으로 접속해서 실제 풀리는지 보여주겠다</font>"는 내용이었다.</div> <div><br></div> <div>좀더 강하게 밀어붙여보았다.</div> <div>"이미 해킹당했는데 또 원격을 연결해줄수는 없다. 당장 내가 인식할수 있는 고유값 ip,mac,하드 시리얼 번호 같은 것과</div> <div>함께 키를 모자이크해서 스샷으로 보내라"</div> <div><br></div> <div>답변이 왔다</div> <div><font color="#ff0000">"자기는 모든 감염 PC 하드를 동일 암호로 했기에 별도로 pc info를 가지고 있지 않다는 거였다"</font></div> <div><font color="#ff0000">오 그래 그럼 내 3개의 하드는 모두 동일 암호이군 !!</font></div> <div><br></div> <div>오호라... 원격으로 접속해서 키를 넣어본다구....</div> <div><br></div> <div>가슴이 두근 거리며 잃어버린 우리 가족 사진을 찾을 수 있을 것 같다는 생각이 들기 시작했다.</div> <div>그래 들어와봐라 퇴근후 집에가서 teamview id,pw 를 주기로 메일로 약속을 했다.</div></div> <div><br></div> <div><br></div> <div><br></div> <div> <div>6. 가족 사진 찾기을 위해 준비해야할 것들</div> <div><br></div> <div>아마도 해커는 원격으로 들어와서 키를 넣고 복호화 하는걸 보여준뒤 다시 암호화 할 것 같았다.</div> <div>최고의 방법 <font color="#ff0000">1) 복호화 하는 순간 랜 케이블을 뽑아버린다</font>. 이미 복호화 하였기에 랜케이블만 뽑으면 해커와는 안녕이었다</div> <div>차선책 2) 예전 보안 프로그램 회사에서 회의를 하다가 누가 질문했다 </div> <div>"DRM 이고 키보드 보안이고 로깅이고 다 좋은데 핸드폰으로 찍는 건 어떻게 합니까 ?"</div> <div>몇억짜리 보안 프로그램 판매가 물거품 될뻔한 순간이었다.</div> <div><font color="#ff0000">접속부터 키 넣는거 촬영하면 암호부분이 실제 텍스트가 아닌 * 으로 표시되어도 자릿수는 알 수 있으니까 희망이 있다</font></div> <div><font color="#ff0000">그래 핸드폰으로 찍자</font></div> <div><br></div> <div><font color="#ff0000">그리고 모든 입력을 저장해두는 키로거도 설치해두자</font></div> <div>암호 필드 또 원격 모드라서 키로거가 정상작동할지는 모르지만 일단 설치해두자</div> <div>프로세스 목록 검사할 수도 있으니 키로거 이름을 svchost.exe로 바꿔서 숨겨두자</div> <div><br></div> <div>준비완료 후 해커에게 메일을 보냈다.</div> <div><br></div> <div><br></div> <div><br></div> <div>7. 해커가 다시 내컴에 들어왔다</div> <div><br></div> <div>해커에게 teamviewer id,pw를 메일로 전송하고 </div> <div>한손엔 핸드폰 다른손은 랜케이블을 잡고 복호키를 넣는 순간을 기다려본다</div> <div><br></div> <div>아뿔사 !!!</div> <div><br></div> <div>해커는 키를 넣기전에 cmd 창을 넣고 shutdown /r 을 먼저 입력한다</div> <div>PC는 1분이내로꺼진다 그리고 teamview에는 원격컴재부팅후 재접속 기능있다.</div> <div><br></div> <div>재부팅하면 키로거는 못쓰게 될 수 도 있구나</div> <div><br></div> <div>순간적으로 욕이 튀어나왔다</div> <div><br></div> <div>그런데 재부팅 되기전 하드 복호키를 넣어서 복호화 되는 걸 보여준다 몇초</div> <div>그리고 컴은 재부팅되었다</div> <div><br></div> <div>복호과정은 오래걸리기에 재부팅하면 다시 암호화 상태로 남게된다.</div> <div><br></div> <div>아마도 해커는 이런 요청을 많이 받아본듯하다 그래서 shutdown /r 을 미리해두었구나</div> <div>잠깐 보여주기만 할 의도로..</div> <div><br></div> <div>동영상 촬영을 마시고 랜케이블 뽑고 PC는 재부팅 되었다</div> <div><br></div> <div>두근 거리는 마음으로 키로거를 열었다</div> <div><br></div> <div><font color="#ff0000">두둥... 있다 !!!! 복호화키가 !!!!</font></div> <div><font color="#ff0000">각각 하드를 복호화해본다 </font></div> <div><br></div> <div>해커에게 메일이 온다</div> <div>두글자 "So" 보여줬으니 송금하라는 뜻일테다</div> <div><br></div> <div><font color="#ff0000">해커는 애초에 암호화를 100% 하지 않았다 그래서 복호화 과정중에도 폴더와 파일을 볼 수가 있었다.</font></div> <div><font color="#ff0000">된다..된다... 가족 사진 여기 다 있다</font></div> <div><br></div> <div>해커에게 메일을 보내야되는데 그간 영어로 보내는데 스트레스도 받았겠다</div> <div>이럴때 쓰라고 우리 네티즌들은 "인실좆"이라는 말을 만들지 않았을까</div> <div>아쉽게도 "인실좆"은 구글 번역기가 훌륭하게 번역해주지 못했다</div> <div>"인생은 실전이야 좆만아"를 구글 번역기에 돌려보니 이렇게 해석해주었다.</div> <div><font color="#ff0000">"Life is practical Oh jotman"</font></div> <div>한글로 "인생은 실전이야 좆만아"를 보냈다</div> <div><br></div> <div>의도가 100% 전달될지는 모르겠으나 속은 무척 시원했다.</div> <div><br></div> <div><font color="#ff0000">해커가 말한데로 모든 해킹 PC 하드의 암호키를 동일하게 했다고 하니</font></div> <div><font color="#ff0000">저랑 같은 일을 당하신 분은 아래 키를 넣어보시면 도움이 될 수도 있습니다.</font></div></div> <div><br></div> <div> <div style="text-align:left;"><img src="http://thimg.todayhumor.co.kr/upfile/201611/14780751769ebda3cdff3f49a5848bbafc21a188d6__mn710985__w1920__h1200__f224685__Ym201611.png" width="800" height="500" alt="03.png" class="chimg_photo" style="border:none;" filesize="224685"></div><br></div> <div> <div>재미있으셨나요 : ) 오늘 새벽까지의 일이네요</div> <div>비슷한 일로 어려움 있으신 분에게 도움이 되었으면 좋겠습니다.</div> <div>혹 궁금한거 있으시면 댓글이나 쪽지 남겨주세요</div></div>