2017.03.06

다르마 랜섬웨어용 무료 암호 해독 툴 공개

Lucian Constantin | IDG News Service
다르마(Dharma) 랜섬웨어에 감염됐거나 암호화된 파일을 보유한 컴퓨터 사용자가 이제 무료로 컴퓨터를 복원할 수 있게 됐다. 최근 누군가가 암호 해독 키를 유출한 후 연구원들이 다르마 랜섬웨어 변형에 대한 암호 해독 툴을 개발했다.



지난 11월 처음 등장한 다르마는 ‘크라이시스(Crysis)‘라는 오래된 랜섬웨어 프로그램을 기반으로 한다. 확장자가 ‘[email_address] .dharma’이므로 영향을 받는 파일을 쉽게 인식할 수 있다. 여기서 이메일 주소는 공격자가 연락처로 사용하는 주소다.

지난주 겍타(gektar)라는 이름의 사용자가 블리핑컴퓨터닷컴(BleepingComputer.com) 기술 지원 포럼에 페이스트빈(Pastebin) 게시물에 대한 링크를 공개했다. 그는 모든 다르마 변종에 대한 암호 해독 키를 포함하고 있다고 주장했다.

다르마의 전신인 크라이시스의 열쇠로 11월에 똑같은 일이 일어났으며 연구원들이 암호 해독 툴을 만들 수 있었다.

겍타인지 아닌지도 모르겠고, 그가 어떤 이유로 다르마 키를 유출했는지도 확실치 않다. 사용자이름은 플리핑컴퓨터닷컴 기술 지원 포럼에서만 사용할 목적으로 만들어진 것으로 보이며 그 이후 다른 활동이 없었다.

키를 얻는 방법에 관한 정보도 없다. 하지만 C 헤더 파일에 포함돼 있었기 때문에 유출한 사람이 랜섬웨어 프로그램의 소스코드에 접근할 수 있다.

다행인 점은 유출된 키가 실제로 존재한다는 것이다. 카스퍼스키랩과 ESET의 연구원은 이들이 작동하는지 확인했다. 이 두 업체는 카스퍼스키 랭크니디크립토(RakhniDecryptor)ESET 크라이시스디크립토(CrysisDecryptor)에서 다운로드한 크라이시스 암호 해독 툴을 다르마에 감염된 파일에서도 사용할 수 있도록 업데이트했다.

이 암호 해독 툴은 랜섬웨어 피해자가 침입자의 몸값 요구에 응하지 않더라도 감염된 파일의 사본을 보관하게 하는 역할을 한다. 연구원들은 암호화 키를 깨뜨릴 수 있는 랜섬웨어 프로그램의 암호화 구현에서 결함을 발견하기도 한다. 법 집행 당국은 랜섬웨어 갱(gang)이 사용하는 명령 및 제어 서버를 점유하고 해독 키를 해제하기도 한다.

때로는 이 경우처럼 설명할 수 없는 누출로 키가 온라인 상태가 된다. 어쩌면 랜섬웨어 개발자가 키를 공개하기로 했거나, 해커가 경쟁사 서버에 침입하여 키를 해제할 수 있다.

따라서 웹사이트 NoMoreRansom.org에서 툴 섹션을 정기적으로 확인하는 것이 좋다. 보안 회사와 규제 기관이 공동으로 관리하는 웹 사이트에서는 새로운 정보와 암호 해독 툴이 자주 업데이트된다. ciokr@idg.co.kr
 



2017.03.06

다르마 랜섬웨어용 무료 암호 해독 툴 공개

Lucian Constantin | IDG News Service
다르마(Dharma) 랜섬웨어에 감염됐거나 암호화된 파일을 보유한 컴퓨터 사용자가 이제 무료로 컴퓨터를 복원할 수 있게 됐다. 최근 누군가가 암호 해독 키를 유출한 후 연구원들이 다르마 랜섬웨어 변형에 대한 암호 해독 툴을 개발했다.



지난 11월 처음 등장한 다르마는 ‘크라이시스(Crysis)‘라는 오래된 랜섬웨어 프로그램을 기반으로 한다. 확장자가 ‘[email_address] .dharma’이므로 영향을 받는 파일을 쉽게 인식할 수 있다. 여기서 이메일 주소는 공격자가 연락처로 사용하는 주소다.

지난주 겍타(gektar)라는 이름의 사용자가 블리핑컴퓨터닷컴(BleepingComputer.com) 기술 지원 포럼에 페이스트빈(Pastebin) 게시물에 대한 링크를 공개했다. 그는 모든 다르마 변종에 대한 암호 해독 키를 포함하고 있다고 주장했다.

다르마의 전신인 크라이시스의 열쇠로 11월에 똑같은 일이 일어났으며 연구원들이 암호 해독 툴을 만들 수 있었다.

겍타인지 아닌지도 모르겠고, 그가 어떤 이유로 다르마 키를 유출했는지도 확실치 않다. 사용자이름은 플리핑컴퓨터닷컴 기술 지원 포럼에서만 사용할 목적으로 만들어진 것으로 보이며 그 이후 다른 활동이 없었다.

키를 얻는 방법에 관한 정보도 없다. 하지만 C 헤더 파일에 포함돼 있었기 때문에 유출한 사람이 랜섬웨어 프로그램의 소스코드에 접근할 수 있다.

다행인 점은 유출된 키가 실제로 존재한다는 것이다. 카스퍼스키랩과 ESET의 연구원은 이들이 작동하는지 확인했다. 이 두 업체는 카스퍼스키 랭크니디크립토(RakhniDecryptor)ESET 크라이시스디크립토(CrysisDecryptor)에서 다운로드한 크라이시스 암호 해독 툴을 다르마에 감염된 파일에서도 사용할 수 있도록 업데이트했다.

이 암호 해독 툴은 랜섬웨어 피해자가 침입자의 몸값 요구에 응하지 않더라도 감염된 파일의 사본을 보관하게 하는 역할을 한다. 연구원들은 암호화 키를 깨뜨릴 수 있는 랜섬웨어 프로그램의 암호화 구현에서 결함을 발견하기도 한다. 법 집행 당국은 랜섬웨어 갱(gang)이 사용하는 명령 및 제어 서버를 점유하고 해독 키를 해제하기도 한다.

때로는 이 경우처럼 설명할 수 없는 누출로 키가 온라인 상태가 된다. 어쩌면 랜섬웨어 개발자가 키를 공개하기로 했거나, 해커가 경쟁사 서버에 침입하여 키를 해제할 수 있다.

따라서 웹사이트 NoMoreRansom.org에서 툴 섹션을 정기적으로 확인하는 것이 좋다. 보안 회사와 규제 기관이 공동으로 관리하는 웹 사이트에서는 새로운 정보와 암호 해독 툴이 자주 업데이트된다. ciokr@idg.co.kr
 

X