상세 컨텐츠

본문 제목

WannaCry, 코딩 실수로 인해 감염 후에도 파일 복구 가능성 생겨

국내외 보안동향

by 알약(Alyac) 2017. 6. 7. 13:39

본문

WannaCry, 코딩 실수로 인해 감염 후에도 파일 복구 가능성 생겨

WannaCry Coding Mistakes Can Help Files Recovery Even After Infection


보안연구원들은 최근 WannaCrypt 랜섬웨어에 의해 암호회된 파일들을 복구할 수 있을 가능성을 발견하였습니다. 


WannaCry 코드를 자세히 분석해 본 결과, 피해자들이 무료로 공개 된 복구 툴이나 단순한 명령어 만으로도 암호화 된 파일들을 복구할 수 있는 가능성이 보이는 코드상의 많은 실수를 발견했습니다. 


암호화 된 파일들을 다시 복구할 수 있을 수도 있는 3가지 오류를 자세히 공개하였습니다. 


이 이슈는 WannaCry 랜섬웨어가 파일을 암호화한 후 원본 파일을 삭제하는 방식에 존재합니다. 일반적으로, 이 멀웨어는 파일의 이름을 변경해 확장자를 “.WNCRYT”로 변경 후 이를 암호화하고 원본 파일을 삭제합니다.



Read-only 파일들 복구


<출처 : http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html>


악성 소프트웨어는 직접적으로 read-only 파일들을 수정하거나 암호화할 수 없으므로, WannaCry는 이러한 파일들을 복사 후 암호화 된 버전을 생성합니다.


하지만 원본 파일들은 ‘숨김’상태로 그대로 존재하기 때문에, 피해자들이 이러한 파일들을 복구하기 위해서는 단순히 속성을 복원하면 됩니다. 


하지만 이것이 WannaCry의 유일한 실수는 아니며, 파일을 암호화 한 후 원본 파일을 삭제하지 않은 경우도 확인되었습니다.



시스템 드라이브로부터 파일 복구 (예: C드라이브)


연구원들은 Desktop이나 Documents 폴더와 같이 중요한 폴더에 저장 된 파일들은 WannaCry가 원본 파일들을 삭제 전 랜덤 데이터로 덮어쓰도록 설계 되어 있기 때문에, 복호화 키 없이는 복구가 불가능하다고 밝혔습니다. 


하지만, 그들은 시스템 드라이브 내 중요 폴더의 외부에 저장 된 다른 파일들은 데이터 복구 소프트웨어를 사용해 임시 폴더에서 복구될 가능성도 있다고 밝혔습니다. 


“원본 파일은 %TEMP%\%d.WNCRYT (%d 값은 숫자를 의미한다)로 이동 될 것이다. 이 파일들은 덮어쓰기 되지 않은 원본 데이터를 포함하고 있다.”



시스템 드라이브가 아닌 곳으로부터 파일 복구 하기


<출처 : http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html>


시스템 드라이브가 아닌 경우, WannaCry 랜섬웨어는 숨겨진 $RECYCLE 폴더를 생성해 암호화가 완료된 후 원본 파일을 이 경로에 저장합니다. 


또한 WannaCry의 “동기화 오류”로 인해, 대부분의 경우 원본 파일이 동일한 경로에 남아있어 피해자들이 데이터 복구 소프트웨어를 이용해 불완전하게 삭제 된 파일들을 복구할 수도 있습니다. 





참고 :

http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html

https://securelist.com/blog/research/78609/wannacry-mistakes-that-can-help-you-restore-files-after-infection/

관련글 더보기

댓글 영역