몸값으로 $250,000를 요구하지만, 파일은 복호화하지 않는 리눅스용 랜섬웨어 KillDisk 발견

몸값으로 $250,000를 요구하지만, 파일은 복호화하지 않는 리눅스용 랜섬웨어 KillDisk 발견

KillDisk Ransomware Targets Linux; Demands $250,000 Ransom, But Won't Decrypt Files

리눅스 장비를 감염시켜 장비를 부팅할 수 없게 만들고, 데이터를 영구적으로 파괴하는 KillDisk 랜섬웨어의 새로운 변종이 발견되었습니다.

KillDisk는 PC에서 랜덤하게 파일을 삭제하며, 기업을 타깃으로 공격하는 파괴적인 데이터 삭제 악성코드입니다. 이는 지난 2015년, 우크라이나의 발전소를 공격하여 수천명에게 공급되는 전기를 끊어버리는데 사용된 Black Energy 악성코드와 동일한 컴포넌트를 사용하고 있습니다.

KillDisk 랜섬웨어는 윈도우와 리눅스 데스크탑 및 서버를 노리는 새로운 변종으로 돌아왔습니다. 공격자는 해당 랜섬웨어를 통해 파일을 암호화시킨 후, 비정상적으로 높은 금액인 $218,000(2억 6200만원 상당)을 비트코인으로 요구합니다. 이는 세계에서 가장 비싼 랜섬 공격으로 추정되고 있습니다.

더욱 심각한 것은 KillDisk 랜섬웨어가 디스크나 C&C 서버 중 어디에도 암호화키를 저장하지 않는다는 것입니다. 따라서 피해자가 어마어마한 랜섬머니를 지불한다고 하더라도, 중요한 파일을 복구할 수 있는 복호화 키를 받을 수 없을 것입니다.

다행히도 보안 연구원들이 이 랜섬웨어의 리눅스 버전이 사용한 암호화법에서 취약점을 발견해 파일을 복구화하는 것이 가능할 수 있다는 주장이 제기되고 있습니다. 그러나 이 작업은 매우 어려운 것으로 밝혀졌습니다. 또한 윈도우용 KillDisk 랜섬웨어 변종에는 동일한 취약점이 존재하지 않았습니다.

$218,000을 지불한 후에도 피해자의 파일을 삭제하는 KillDisk

연구원들에 따르면, 해당 랜섬웨어의 리눅스 변종으로 인해 암호화된 파일들은 “4096바이트 파일 블록에 적용 되는 Triple-DES”를 사용했습니다. 또한 컴퓨터의 파일은 각각 다른 세트의 64비트 암호화키로 암호화된 것으로 보입니다.

이후 해당 랜섬웨어는 GRUB 부트로더내에 랜섬웨어 감염 알림창을 표시했습니다. 이는 일반적이지 않은 방법으로, KillDisk 리눅스 랜섬웨어가 222 비트코인을 지불하라는 메시지를 표시하기 위해 부트로더 엔트리에 덮어쓰기 했다는 것을 의미합니다.

이 리눅스 변종은 복호화 키를 어디에도 저장하지 않기 때문에 범죄자들에게 돈을 지불한다고 사용자의 파일을 복구할 수 없습니다. 따라서 랜섬웨어에 대응하는 가장 안전한 방법은 주요 소프트웨어 업데이트 및 백업임을 당부 드립니다.

출처 :

http://thehackernews.com/2017/01/linux-ransomware-malware.html