랜섬웨어 복호화 키, 감염된 컴퓨터에서도 발견

개요

• 글로벌 보안 업체 시만텍(Semantec)은 크립토디펜스(CryptoDefense)로 알려진 랜섬웨어의 복호화 키
  (Private Key)가 감염된 컴퓨터 내에도 존재하므로 공격자에게 돈을 입금하지 않아도 복호화 가능하다고 발표
  ※ 랜섬웨어 : PC 내 중요파일 등을 RSA 공개키(Public Key)로 암호화시켜 사용 불가능하도록 만든 후 
     복호화하기 위해서는 일정 금액의 돈을 요구하는 악성코드

주요내용

• 크립토디펜스는 메일을 통해서 사용자를 랜섬웨어에 감염시키고 컴퓨터 내 파일들을 RSA 공개키로 암호화
  ※ RSA 공개키(Public Key)로 암호화 된 파일을 복호화 하려면 복호화 키(Private Key)가 필요

< 메일을 통한 랜섬웨어 감염 유도 >

• 감염 된 사용자에게 복호화 키를 제공하는 조건으로 500달러를 요구하며 4일 내 결제하지 않으면 금액을 
  2배로 늘린다고 위협

< 복호화 키를 조건으로 500달러를 요구 >

• 감염 된 사용자가 토르(Tor)를 통해서 결제하도록 유도해서 추적을 어렵게 함

< 감염 된 사용자에게 토르 접속 유도 >

• 크립토디펜스 개발자는 복호화 키가 감염된 컴퓨터에도 저장된다는 사실을 인지하지 못함
      - 크립토디펜스는 Windows API를 사용해서 2048-bit RSA 암호화 및 복호화를 수행
      - Windows API를 사용할 경우 복호화 키(Private Key)는 사용자의 컴퓨터에 자동 저장됨
      - 따라서 공격자가 요구하는 금액을 입금하지 않아도 복호화 가능

 

[출처]
1. http://www.theregister.co.uk/2014/04/03/cryptodefense_rsa_private_key_on_disk/
2. http://www.computerworld.com/s/article/9247348/CryptoDefense_ransomware_leaves_decryption_key_accessible
3. http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month

작성 : 침해사고분석단 코드분석팀