개요
워너크립트(WannaCrypt)* 랜섬웨어 內 프로그래밍 코드에러에 의한 파일 복호가능
* 워너크라이 랜섬웨어의 또다른 명칭
주요내용
카스퍼스키 연구소(Kaspersky Lab)의 보안 연구원은 워너크립트 소스코드 內 결함을 발견하여 파일 복호화 비용의 지불없이 암호화된 파일들을 복호화 가능한 것을 발견함
- 선임 악성코드 분석가 안톤 이바노브는 워너크라이 악성코드 개발자가 실수한 3개의 치명적인 오류를 발견함
- 워너크라이 랜섬웨어는 주요 파일들의 확장자를 “.WNCRYPT”로 변경하고 파일을 암호화 후, 원본파일을 삭제함
‘읽기전용(Read-Only)‘ 파일은 악성 소프트웨어라고 할지라도 수정이나, 암호화가 불가능한 특징 때문에, 워너크라이 랜섬웨어는 사용자들을 속이기 위해 해당 파일들을 숨김 속성으로 변경함
- 이러한 결점 때문에 랜섬웨어 피해자는 숨김파일 들을 보통(normal) 속성으로 복원함으로써 원본파일 복구가 가능
- 특정 상황에 따라, 워너크라이 랜섬웨어는 파일 암호화 후 원본파일 삭제하지 않음
암호화되지 않은 원본 파일들은 임시파일 경로(%TEMP%\[랜덤한숫자].WNCRYPT)에 확장자를 ‘.WNCRYPT’로 바꾸어 저장됨
- 워너크라이 랜섬웨어는 비시스템 드라이브(D:\ 또는 E:\)에 숨김속성으로 휴지통 폴더를 생성하고, 파일 암호화 후 원본 파일들을 이동시킴
- 임시파일 경로 및 비시스템 드라이브에 휴지통 폴더로부터 원본파일 복구 가능
- 카스퍼스키 연구소가 제공하는 무료 데이터 복구 도구를 사용하여 원본파일 복구 가능
시사점
일부 백신사는 워너크라이 랜섬웨어의 예방수칙으로 주요 파일들을 읽기속성(Read-Only)로 바꾼 후 보관할 것을 권고하고 있으나, 이를 우회한 속성변경 후 파일암호화가 가능하므로 원본파일들에 대한 주기적인 백업 필요
국내 워너크라이 랜섬웨어 피해가 초기보다 완화되는 상태이나, 지속적인 주의가 필요하며, 감염자 피해 발생시 무료 복호화 도구 배포 및 보안조치 안내 필요
[출처]
1. The Hacker News “WannaCry Coding Mistakes Can Help Files Recovery Even After Infection”, 2017.6.2.
2. http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html
'Security_News > 해외보안소식' 카테고리의 다른 글
| 신종 모바일 랜섬웨어 주의 권고 (0) | 2017.06.09 |
|---|---|
| 호주 정부, 사이버보안사무소 설립 계획 예산안 발표 (0) | 2017.06.09 |
| 구글, 지메일 기업 사용자 보안 강화 (0) | 2017.06.06 |
| 리눅스 Sudo 취약점 패치 (0) | 2017.06.06 |
| 악성 어플로 모든 버전의 안드로이드 기기를 손상 가능 (0) | 2017.06.02 |