WannaCry, 코딩 실수로 인해 감염 후에도 파일 복구 가능성 생겨

WannaCry, 코딩 실수로 인해 감염 후에도 파일 복구 가능성 생겨

WannaCry Coding Mistakes Can Help Files Recovery Even After Infection

보안연구원들은 최근 WannaCrypt 랜섬웨어에 의해 암호회된 파일들을 복구할 수 있을 가능성을 발견하였습니다. 

WannaCry 코드를 자세히 분석해 본 결과, 피해자들이 무료로 공개 된 복구 툴이나 단순한 명령어 만으로도 암호화 된 파일들을 복구할 수 있는 가능성이 보이는 코드상의 많은 실수를 발견했습니다. 

암호화 된 파일들을 다시 복구할 수 있을 수도 있는 3가지 오류를 자세히 공개하였습니다. 

이 이슈는 WannaCry 랜섬웨어가 파일을 암호화한 후 원본 파일을 삭제하는 방식에 존재합니다. 일반적으로, 이 멀웨어는 파일의 이름을 변경해 확장자를 “.WNCRYT”로 변경 후 이를 암호화하고 원본 파일을 삭제합니다.

Read-only 파일들 복구

<출처 : http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html>

악성 소프트웨어는 직접적으로 read-only 파일들을 수정하거나 암호화할 수 없으므로, WannaCry는 이러한 파일들을 복사 후 암호화 된 버전을 생성합니다.

하지만 원본 파일들은 ‘숨김’상태로 그대로 존재하기 때문에, 피해자들이 이러한 파일들을 복구하기 위해서는 단순히 속성을 복원하면 됩니다. 

하지만 이것이 WannaCry의 유일한 실수는 아니며, 파일을 암호화 한 후 원본 파일을 삭제하지 않은 경우도 확인되었습니다.

시스템 드라이브로부터 파일 복구 (예: C드라이브)

연구원들은 Desktop이나 Documents 폴더와 같이 중요한 폴더에 저장 된 파일들은 WannaCry가 원본 파일들을 삭제 전 랜덤 데이터로 덮어쓰도록 설계 되어 있기 때문에, 복호화 키 없이는 복구가 불가능하다고 밝혔습니다. 

하지만, 그들은 시스템 드라이브 내 중요 폴더의 외부에 저장 된 다른 파일들은 데이터 복구 소프트웨어를 사용해 임시 폴더에서 복구될 가능성도 있다고 밝혔습니다. 

“원본 파일은 %TEMP%\%d.WNCRYT (%d 값은 숫자를 의미한다)로 이동 될 것이다. 이 파일들은 덮어쓰기 되지 않은 원본 데이터를 포함하고 있다.”

시스템 드라이브가 아닌 곳으로부터 파일 복구 하기

<출처 : http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html>

시스템 드라이브가 아닌 경우, WannaCry 랜섬웨어는 숨겨진 $RECYCLE 폴더를 생성해 암호화가 완료된 후 원본 파일을 이 경로에 저장합니다. 

또한 WannaCry의 “동기화 오류”로 인해, 대부분의 경우 원본 파일이 동일한 경로에 남아있어 피해자들이 데이터 복구 소프트웨어를 이용해 불완전하게 삭제 된 파일들을 복구할 수도 있습니다. 

참고 :

http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html

https://securelist.com/blog/research/78609/wannacry-mistakes-that-can-help-you-restore-files-after-infection/