일부 Bad Rabbit 피해자들, 랜섬머니 지불하지 않아도 문서 복구 가능해

Shadow Volume Copies는 윈도우 시스템이 사용하는 과정 중 자동으로 파일 복사본을 생성해 놓은 일종의 서비스입니다. 

랜섬웨어의 공격원리는 다음과 같습니다. 

우선, 파일 복사본을 생성한 후, 해당 복사본을 암호화 한 후 원본 파일을 삭제합니다. 그 후 새로 생성된 파일 복사본들은 Windows에 의해 "in use"로 판단되어 자동으로 메모리에 백업됩니다. 이러한 문서 자신들은 보이지 않으며, 시스템 메모리에 자동으로 할당된 메모리 공간에 일정시간 저장됩니다. 

대부분의 랜섬웨어들은 모두  shadow volume copies를 삭제하여 하드웨어 복구 프로그램이 암호화 된 파일들의 원본 복사본 및 암호화 되지 않은 문서를 찾는 것을 방지합니다. 

하지만, 카스퍼스키는 최근 Bad Rabbit 랜섬웨어 분석과정 중  shadow volume copies를 삭제하는 프로세스가 존재하지 않는다는 것을 확인하였습니다. 

이 때문에 사용자는 모든 문서를 복구할 수는 없지만, 일부 문서에 한해서 복구가 가능합니다. 

복호화 키에도 취약점이 존재해

카스퍼스키 연구원들은 복호화 키에서도 취약점을 발견하였습니다. 

Bad Rabbit도 다른 랜섬웨어들과 마찬가지로, 사용자 파일을 및 MFT를 암호화 한 후, MBR영역을 바꿔 랜섬노트를 보여줍니다. 

이 랜섬웨어 정보 중, 감염자는 랜섬머니를 지불하고, ”personal installation key#1″중의 코드를 복사하여 Tor 홈페이지에 붙여넣은 후 복호화 키를 얻어야 합니다. 

하지만 연구원들은  디버그 모드를 통하여 복호화 키를 획득할 수 있다고 밝혔습니다. 

우리는 dispci.exe중 일부 코드 오류로, 악성코드가 생성하는 비밀번호가 메모리에서 삭제되지 않는 버그를 발견하였습니다. 그래서 우리는 디버그 모드에서 악성코드가 생성한 비밀번호를 추출하고, 시스템을 재부팅 후 해당 비밀번호를 입력해본 결과 해당 비밀번호가 유효한 것을 확인할 수 있었습니다. 

하지만 안타까운 것은, 이 방법은 부팅 프로세스를 우회하는 것만 가능하며, 사용자가 재부팅 후의 파일은 여전히 암호화 상태입니다. 

연구원들은 WannaCry 중에도 유사한 문제점을 발견하였지만, 이러한 문제점들은 사실 흔하게 발견되는 것은 아니며, 일반적으로 특정 환경에서만 발생하는 것이라고 밝혔습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/some-bad-rabbit-victims-can-recover-files-without-paying-ransom/

http://www.freebuf.com/news/152248.html