보안

최신 랜섬웨어 ‘파워웨어 및 바트’ 복호화 툴 무료 공개

Lucian Constantin | IDG News Service 2016.07.25
보안 연구원들이 최신 랜섬웨어인 바트(Bart)와 파워웨어(PowerWare)에 감염된 파일을 복구할 수 있는 툴을 무료로 공개했다.

포쉬코더(PoshCoder)라고도 알려진 파워웨어는 지난 3월에 처음 등장했으며, 헬스케어 기관을 공격하는 데 사용된 랜섬웨어다. 시스템과 애플리케이션의 관리자 작업을 자동화하도록 설계된 윈도우 파워셸(Windows PowerShell)에서 실행되는 것이 특징이다.

팔로 알토 네트웍스의 연구원들은 최근 록키(Locky)라는 정교하고 널리 사용되고 있는 랜섬웨어 프로그램을 모방한 새로운 버전의 위협을 발견했다. 파일을 암호화하기 위해서 .locky라는 확장자를 사용하며, 실제 록키 랜섬웨어에 사용되는 것과 같은 랜섬 노트를 표시한다.

파어웨어/포쉬코더 생성자가 잘 설계된 랜섬웨어 위협을 모방한 것은 처음이 아니다. 아마도 피해자들이 돈을 지불하지 않고 파일을 복구하려는 시도를 아예 못하도록 막으려는 의도로 보인다. 과거에는 크립토월(CryptoWall)과 테슬라크립트(TeslaCrypt) 랜섬 노트를 사용한 바 있다.

다행히, 파워웨어는 록키에 비하면 전혀 강력하지 았다. AES-128 암호화 알고리즘을 사용했지만 하드코딩된 키를 사용해서, 팔로알토 연구원들이 복호화 툴을 만들 수 있었다. 

또한, 안티바이러스 업체인 AVG의 연구원들은 6월에 첫 등장한 랜섬웨어 프로그램 바트를 크랙하는 데 성공했다. 바트는 정교한 암호화 알고리즘대신 비밀번호로 잠긴 ZIP 아카이브에 파일을 가두는 수법을 사용한다.

감염된 파일에 .bart.zip 확장자가 적용되어 있어, 바트의 감염 여부는 쉽게 파악할 수 있다. 예를 들어, document.docx 파일은 document.docx.bart.zip 이런 식으로 바뀐다.

바트의 ZIP 기반 암호화는 매우 길고 복잡한 비밀번호를 사용하지만, AVG의 연구원들은 무차별 대입(brute-force) 기법을 사용해 비밀번호를 알아내는 방법을 발견했다. 바트 복호화 툴을 이용하려면, 최소한 암호화된 파일의 감염되지 않은 버전이 있는 파일 하나가 필요하다.

이 프로그램은 파일의 원래 버전과 비밀번호로 잠긴 버전을 비교해서 비밀번호를 추측한다. 이 과정은 최대 며칠까지 걸릴 수 있다.

보안 연구원들이 랜섬웨어 프로그램의 취약점을 발견하고, 이를 활용해 무료 복호화 툴을 공개한 것은 정말 환영할 만한 일이다. 하지만 악성코드 제작자들은 빠르게 이 취약점을 수정할 것이다. 또한, 특정 랜섬웨어 프로그램의 한 변종에선 사용할 수 있었던 툴이 다른 것에서는 통하지 않을 수 있다. 따라서, 사용자들은 처음부터 랜섬웨어에 감염되지 않도록 하는 것이 무엇보다 중요하다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.