포스팅 내용

국내외 보안동향

Thanatos 랜섬웨어 복호화 툴 공개 돼

Thanatos Ransomware Decryptor Released by the Cisco Talos Group


지난 2월, Thanatos라는 새로운 랜섬웨어가 발견된 적이 있습니다. 

하지만 이 랜섬웨어의 결점으로 인해, 피해자들은 돈을 지불 하더라도 파일을 복호화할 수 없었습니다. 



다행스럽게도, Cisco Talos Group이 이 암호화 루틴을 깨트리는 방법을 발견해 복호화 툴을 만들어 무료로 공개했습니다.


Thanatos는 널리 배포된 적은 없지만, 연구원들의 분석에 따르면 어느 정도의 피해자가 발견 된 상태입니다. Cisco에 따르면, 다수의 캠페인을 통해 1.1 버전이 가장 널리 배포된 것을 확인했습니다.

이 버전은 더욱 고급화 된 랜섬노트를 사용했으며, 랜섬웨어의 이름과 버전을 아래와 같이 표시했습니다. 이 랜섬웨어에 감염 되면 파일이 암호화 되며, 암호화 된 파일의 이름에는 .THANATOS 확장자가 붙습니다. 예를 들면, test.jpg는 test.jpg.THANATOS로 변경 됩니다.


<Thanatos 랜섬노트>


Thanatos 랜섬웨어는 오픈 소스 프로젝트로 공개 되었기 때문에, 다른 개발자들이 동일한 랜섬웨어 코드를 기반으로 고유한 버전을 개발해 사용하고 있을 가능성이 있습니다.



Thanatos 랜섬웨어로 암호화 된 파일 복호화


Thanatos 랜섬웨어로 암호화 된 파일을 복호화 하기 위해서는, Thanatos 복호화 툴을 PC에 다운로드 해야합니다. 또한 Visual Studio 2017용 Microsoft Visual C++ Redistributable이 설치 되어 있어야 합니다. 그렇지 않으면 복호화 툴을 실행하면 DLL 누락 오류가 뜨게 됩니다.


<Thanatos 복호화툴>



여기까지 준비 되었으면, 복호화 툴의 실행파일을 더블클릭 하기만 하면 복호화 할 파일을 찾기 시작할 것입니다. 현재 이 복호화 툴은 아래의 파일 타입만을 복호화 합니다.


 Image:  .gif, .tif, .tiff, .jpg, .jpeg, .png

 Video:  .mpg, .mpeg, .mp4, .avi

 Audio:  .wav

 Document:  .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .odt, .ods, .odp, .rtf

 Other:  .zip, .7z, .vmdk, .psd, .lnk



Cisco는 복호화 툴을 파일이 암호화 되었던 동일한 기기에서 사용하도록 권장합니다. 복호화 과정은 꽤 소요 됩니다. 이 복호화 툴의 작동법에 대한 자세한 내용은 프로젝트의 Github 페이지에서 확인할 수 있습니다.


알약에서는 현재까지 발견된 모든 타나토스 랜섬웨어에 대해 Trojan.Ransom.Thanatos로 탐지중입니다.




출처:

https://www.bleepingcomputer.com/news/security/thanatos-ransomware-decryptor-released-by-the-cisco-talos-group/

티스토리 방명록 작성
name password homepage