포스팅 내용

국내외 보안동향

PyLocky 랜섬웨어 복호화 툴 공개 돼, 무료로 파일을 해독하세요

PyLocky Ransomware Decryption Tool Released — Unlock Files For Free


Cisco Talos의 보안 연구원인 Mike Bautista가 PyLocky 랜섬웨어에 감염 된 피해자들이 랜섬 머니를 지불하지 않고도 암호화 된 파일을 무료로 복호화할 수 있는 무료 복호화 툴을 공개했습니다.


이 복호화 툴은 누구나 사용할 수 있지만, 매우 큰 제약이 있습니다. 파일을 성공적으로 복구해내기 위해서는 PyLocky 랜섬웨어와 C&C 서버간의 초기 네트워크 트래픽(PCAP 파일)이 필요한데, 보통 아무도 의도적으로 하지 않는 일이기 때문입니다.


랜섬웨어가 C&C 서버와 통신하고 복호화 키 관련 정보를 제출할 때의 아웃 바운드 연결이 초기화 벡터 (IV – Initialization Vector)와 패스워드를 모두 포함하고 있기 때문입니다. 이는 랜섬웨어가 파일을 암호화하기 위해 랜덤으로 생성합니다.


작년 7월 처음 발견 된 PyLocky 랜섬웨어는 피해자가 악성 PyLocky 페이로드를 실행하도록 속이는 이메일을 통해 배포 됩니다.


샌드박스 보안 소프트웨어의 탐지를 피하기 위해, PyLocky 랜섬웨어는 시스템의 가시적 메모리가 4GB보다 작을 경우 999,999초 (11.5일) 동안 숙면을 취합니다. 메모리가 4GB와 같거나 클 때만 파일 암호화 프로세스가 시작 됩니다.


파이썬으로 작성되었으며 PyInstaller로 패키징 된 PyLocky 랜섬웨어는 먼저 각 파일을 base64 형식으로 변환 후 랜덤으로 생성 된 초기화 벡터(IV)와 패스워드를 사용하여 감염 된 컴퓨터의 모든 파일들을 암호화합니다.


컴퓨터가 암호화 되면, PyLocky는 잘 알려진 Locky 랜섬웨어의 변종임을 주장하고 파일을 복호화 하기 위해 랜섬 머니를 가상화폐로 지불하라 요구하는 랜섬노트를 표시합니다.


또한 이 노트에서는 랜섬 머니를 기한 내에 지불하지 않으면 96시간 마다 금액이 2배로 증가한다고도 밝혔습니다.


PyLocky 랜섬웨어는 특히 유럽의 프랑스 내 기업들을 노렸습니다. 하지만 랜섬 노트들은 영어, 불어, 한국어, 이탈리아어로 작성 되어 있어, 한국어 및 이탈리아어 사용자도 노리고 있다는 것을 보여줍니다.


PyLocky 랜섬웨어 복호화 툴은 GitHub에서 무료로 다운로드하여 감염 된 윈도우 컴퓨터에서 실행할 수 있습니다.





참고 :


티스토리 방명록 작성
name password homepage