랜섬웨어 공격자들 사이에서 유행하는 전략 때문에 무료 복호화 도구 나와
개요
랜섬웨어 공격으로 암호화된 파일 일부를 복구시켜주는 도구가 개발되었고, 깃허브를 통해 무료로 배포되고 있다.
모든 랜섬웨어로부터 복구시켜주는 것은 아니지만, 무료이고 복호화 키를 확보할 필요도 없다.
랜섬웨어 공격방법
간헐적암호화
: 파일을 통째로 암호화하는 게 아니라 가장 앞부분이나 뒷부분만 암호화 하는 것을 말한다. 이는 암호화 속도를 높이기 위함이다. 암호화 속도를 높이면 더 많은 파일에 영향을 줄 수 있다. 블랙캣이나 플레이와 같은 조직들이 이 전략을 활용한다.
- 장점: 피해를 얕고 넓게 퍼트린다.
- 단점: 파일의 일부만 암호화 하기 때문에 상황만 잘 맞으면 복호화 될 수 있다.
- PDF나 MS파일의 경우 반복되는 매개변수를 다수 포함하고 있기 때문에 복호화 가능성이 높다.
이 전략은 록빗이라는 랜섬웨어 조직이 제일 먼저 사용한 이후 유행처럼 자리잡았다. 파일을 열어볼 수 없을 정도까지만 암호화를 진행하는 것이다.
화이트피닉스
사이버 아크에서 복호화 가능성이 높다는 점을 통해 자동으로 복호화 시켜주는 도구인 화이트피닉스를 개발했다.
간헐적 암호화를 통해 못쓰게 된 파일들 중 pdf, docs, docm, xlxm, xltx, extm, pptx, pptm, ptox, zip 등의 파일들을 복구해낸다. 부분적으로 암호화된 파일의 경로와, 복호화 될 파일을 저장할 폴더의 경로만 지정하면 화이트 피닉스가 알아서 작업한다.
화이트 피닉스 링크 https://github.com/cyberark/White-Phoenix
현재는 주로 블랙캣이 암호화 한 문서 파일들을 위주로 복호화 기능을 발휘하고 있는데, 플레이, 킬린, 비안리안, 다크빗과 같은 랜섬웨어의 피해자들도 어느 정도 도움을 얻을 수 있을것이라고 보인다.
https://www.boannews.com/media/view.asp?idx=117997
보안뉴스 문가용 기자님
