CryptoNar 랜섬웨어, 발견 되고 얼마 지나지않아 복호화 가능해져

CryptoNar Ransomware Discovered and Quickly Decrypted

이번 주, 사용자들을 감염시킨 CryptoJoker 랜섬웨어의 새로운 변종인 CryptoNar가 발견 되었습니다. 좋은 소식은, 무료 해독기가 신속히 공개되어 피해자들이 무료로 파일을 되찾을 수 있게 되었다는 것입니다.

이 랜섬웨어는 연구원인 MalwareHunterTeam이 발견했으며, 언뜻 보기에는 거의 배포 되지 않은 랜섬웨어처럼 보입니다. 하지만, 이 랜섬웨어는 100명 가량의 피해자를 만들어낸 것으로 나타났습니다.

좋은 소식은 연구원인 Michael Gillespie가 피해자들이 무료로 파일을 되찾을 수 있도록 무료 해독기를 신속히 개발했다는 것입니다.

CryptoNar 랜섬웨어

CryptoNar 랜섬웨어가 피해자의 파일을 암호화할 때, 이는 암호화 되는 파일의 유형에 따라 암호화법을 달리합니다.

타겟 파일이 .txt나 .md일 경우 전체 파일을 암호화 하고 파일명에 .fully.cryptoNar 확장자를 붙입니다. 다른 파일들은 첫 1024 바이트만 암호화 후 .partially.cryptoNar확장자를 붙입니다.

파일 암호화가 완료 되면, 이는 공격자에게 공개/개인 키 페어를 이메일로 보냅니다.

이후 랜섬 노트인 CRYPTONAR RECOVERY INFORMATION.txt를 드랍합니다. 여기에는 피해자에게 지정된 주소로 $200을 비트코인으로 지불하라는 내용이 포함 되어 있습니다. 코인을 보낼 때, 공격자는 피해자에게 이메일 주소와 ID를 입력하라고 지시합니다.

이후 해독기가 실행 되고 피해자가 랜섬머니를 지불한 후 받을 수 있는 개인 키를 입력하기를 기다립니다.

피해자가 돈을 지불한 후, 공격자가 실제로 파일을 해독해줬는지는 알 수 없었지만, 무료 해독기가 출시 되었기 때문에 더 이상 문제가 되지 않습니다.

무료 CryptoNar 복호화툴 개발 돼

연구원은 피해자가 무료로 파일을 되돌려 받을 수 있도록 무료 CryptoNar 복호화툴을 제작해 공개했습니다.

복호화툴을 사용하려면, 암호화 된 파일과 원본 파일을 가지고 있는지 확인한 후 여기에서 다운로드 하면 됩니다. 암호화/비암호화 된 파일 쌍을 찾을 때 .jpg, .png, .pdf, .doc, .xls 과 같은 흔한 파일 유형을 찾아 보면 됩니다.

준비 되었으면, 복호화툴을 실행 후 Settings > Brute Forcer를 누릅니다. 그리고 위에서 요청한 파일을 선택 후 Start를 누릅니다. 복호화툴은 선택 된 파일을 사용해 브루트포싱을 통해 복호화 키를 알아낼 것입니다.

키가 발견 되면, Brute Forcer 스크린을 닫고 키를 로드해야 합니다. 그리고 Select Directory를 누르고, C: 드라이브를 선택 후 Decrypt 버튼을 누르면 파일이 복호화 될 것입니다.

현재 알약에서는 해당 랜섬웨어를 Trojan.Ransom.CryptoJoker로 탐지중에 있습니다.

출처 :

https://www.bleepingcomputer.com/news/security/cryptonar-ransomware-discovered-and-quickly-decrypted/