WannaCry, 코딩 실수로 인해 감염 후에도 파일 복구 가능성 생겨
WannaCry Coding Mistakes Can Help Files Recovery Even After Infection
보안연구원들은 최근 WannaCrypt 랜섬웨어에 의해 암호회된 파일들을 복구할 수 있을 가능성을 발견하였습니다.
WannaCry 코드를 자세히 분석해 본 결과, 피해자들이 무료로 공개 된 복구 툴이나 단순한 명령어 만으로도 암호화 된 파일들을 복구할 수 있는 가능성이 보이는 코드상의 많은 실수를 발견했습니다.
암호화 된 파일들을 다시 복구할 수 있을 수도 있는 3가지 오류를 자세히 공개하였습니다.
이 이슈는 WannaCry 랜섬웨어가 파일을 암호화한 후 원본 파일을 삭제하는 방식에 존재합니다. 일반적으로, 이 멀웨어는 파일의 이름을 변경해 확장자를 “.WNCRYT”로 변경 후 이를 암호화하고 원본 파일을 삭제합니다.
Read-only 파일들 복구
<출처 : http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html>
악성 소프트웨어는 직접적으로 read-only 파일들을 수정하거나 암호화할 수 없으므로, WannaCry는 이러한 파일들을 복사 후 암호화 된 버전을 생성합니다.
하지만 원본 파일들은 ‘숨김’상태로 그대로 존재하기 때문에, 피해자들이 이러한 파일들을 복구하기 위해서는 단순히 속성을 복원하면 됩니다.
하지만 이것이 WannaCry의 유일한 실수는 아니며, 파일을 암호화 한 후 원본 파일을 삭제하지 않은 경우도 확인되었습니다.
시스템 드라이브로부터 파일 복구 (예: C드라이브)
연구원들은 Desktop이나 Documents 폴더와 같이 중요한 폴더에 저장 된 파일들은 WannaCry가 원본 파일들을 삭제 전 랜덤 데이터로 덮어쓰도록 설계 되어 있기 때문에, 복호화 키 없이는 복구가 불가능하다고 밝혔습니다.
하지만, 그들은 시스템 드라이브 내 중요 폴더의 외부에 저장 된 다른 파일들은 데이터 복구 소프트웨어를 사용해 임시 폴더에서 복구될 가능성도 있다고 밝혔습니다.
“원본 파일은 %TEMP%\%d.WNCRYT (%d 값은 숫자를 의미한다)로 이동 될 것이다. 이 파일들은 덮어쓰기 되지 않은 원본 데이터를 포함하고 있다.”
시스템 드라이브가 아닌 곳으로부터 파일 복구 하기
<출처 : http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html>
시스템 드라이브가 아닌 경우, WannaCry 랜섬웨어는 숨겨진 $RECYCLE 폴더를 생성해 암호화가 완료된 후 원본 파일을 이 경로에 저장합니다.
또한 WannaCry의 “동기화 오류”로 인해, 대부분의 경우 원본 파일이 동일한 경로에 남아있어 피해자들이 데이터 복구 소프트웨어를 이용해 불완전하게 삭제 된 파일들을 복구할 수도 있습니다.
참고 :
http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html
중국에서 개발된 "Fireball" 악성코드 분석 (0) | 2017.06.08 |
---|---|
범죄자들, 파워포인트 프레젠테이션을 통해 악성코드를 배포하는 새로운 기술 사용해 (2) | 2017.06.07 |
문자 4개만을 이용하여 윈도우 7과 8.1의 충돌을 일으킬 수 있는 방법 발견 돼 (0) | 2017.06.01 |
중국 사이버 보안법, 6월 1일부터 시행 (0) | 2017.06.01 |
해커들, 계정 없이도 FreeRADIUS에 로그인 가능해 (0) | 2017.05.31 |
댓글 영역