상세 컨텐츠

본문 제목

WannaCry 랜섬웨어 복호화 툴 공개! 돈을 지불하지 않고도 파일 잠금 해제 가능

국내외 보안동향

by 알약(Alyac) 2017. 5. 22. 13:32

본문

WannaCry 랜섬웨어 복호화 툴 공개! 돈을 지불하지 않고도 파일 잠금 해제 가능

WannaCry Ransomware Decryption Tool Released; Unlock Files Without Paying Ransom


WannaCry 랜섬웨어 복호화 툴이 공개되었습니다. 이 툴은 윈도우 XP, 7, Vista, Server 2003, 2008에서 동작합니다. 



WannaCry 랜섬웨어 복호화 키


WannaCry의 암호화 스키마는 피해자의 컴퓨터에서 소수를 기반으로 시스템의 파일을 암호화하고, 복호화하는데 사용되는 공개키 및 개인키 한 쌍을 생성하는 방식으로 동작합니다.


피해자가 개인키에 접근해 파일을 직접 복호화 하는 것을 막기 위해, WannaCry는 이 키를 시스템에서 삭제하여 공격자에게 몸값을 지불하지 않고서는 복호화 키를 받아올 수 없도록 만듭니다. 하지만 WannaCry는 “관련 메모리를 free 하기 전, 메모리로부터 소수를 삭제하지 않는” 것으로 확인되었습니다. 


보안연구원 Guinet은 이를 바탕으로 WannaCry 랜섬웨어 복호화 툴인 WannaKey를 공개했습니다. 이는 메모리로부터 암호화 키를 생성하는데 사용된 두 개의 소수를 얻으려 시도하며, XP 환경에서만 동작합니다.


Guinet은 “wcry.exe 프로세스 내에서 소수를 검색하면 된다. 이 프로세스는 RSA 개인 키를 생성한다. 주된 문제는 CryptDestroyKey와 CryptReleaseContext가 관련된 메모리를 free하기 전, 소수를 삭제하지 않는다는 것이다.”라고 밝혔습니다.


이 방법은 다음과 같은 경우에만 동작합니다.


감염된 컴퓨터가 감염 이후 재부팅되지 않았다.

관련된 메모리가 다른 프로세스들로부터 할당되거나 삭제되지 않았다.


따라서, Guinet은 모든 경우에 이 복호화 툴이 동작하지 않을 수도 있다고 말했습니다또한 랜섬웨어 제작자들이 윈도우의 Crypto API를 제대로 사용하고 있기 때문에, 이는 그들의 실수로 인한 것은 아니라고도 설명했습니다.


WannaKey는 영향을 받는 컴퓨터의 메모리로부터 소수만을 가져오기 때문에, 이 툴은 소수를 이용해 키를 생성하고 수동으로 WannaCry로 암호화된 파일들을 복호화할 수 있는 사람들만이 사용할 수 있습니다.



WanaKiwi: WannaCry 랜섬웨어 복호화 툴


또 다른 좋은 소식은, 보안 연구원 Benjamin Delpy가 사용하기 쉬운 “WanaKiwi” 툴을 개발했다는 것입니다. 그는 Guinet의 발견을 기반으로 하여 WannaCry에 감염된 파일의 복호화 과정을 단순하게 만들었습니다. 따라서 피해자들은 Github에서 WanaKiwi 툴을 다운로드한 후, 감염된 컴퓨터의 cmd창에서 툴을 실행하기만 하면 감염된 파일을 복호화할 수 있습니다.


WanaKiwi는 윈도우 XP, 7, Vista, Server 2003, 2008에서 동작합니다.


모든 사용자에게 이 툴이 유효하지는 않지만, WannaCry의 피해자들이 파일을 무료로 돌려받을 수 있을 것이라는 희망은 줄 수 있을 것입니다.







출처 :

http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html

https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d?gi=4ade38ee4a64



관련글 더보기

댓글 영역