상세 컨텐츠
본문
Exclusive, experts at Yoroi-Cybaze ZLab released a free decryptor for Loocipher Ransomware
Yoroi-Cybaze ZLab의 전문가들이 빠르게 확산되고 있는 새로운 랜섬웨어인 LooCipher 랜섬웨어의 복호화 툴을 공개했습니다.
Fortinet에 따르면, LooCipher 랜섬웨어가 사용한 암호화 알고리즘은 16바이트 키를 사용하는 AES-128 ECB(Electric CodeBook mode)입니다.
키는 선 정의된 문자 배열에서 시작하여 랜덤한 방식으로 생성됩니다.
<이미지 출처: https://www.fortinet.com/blog/threat-research/loocipher-can-encrypted-files-be-recovered.html>
AES는 대칭 키 알고리즘이기 때문에, 키를 받아오면 모든 암호화된 파일을 복구시킬 수 있습니다. 해당 키는 GET 파라미터로 ("k=") HTTP를 통해 C2로 보내지지만 난독화되어 있습니다.
<이미지 출처: https://blog.yoroi.company/research/loocipher-the-new-infernal-ransomware/>
이 난독화 방식은 매우 단순한데, 키의 문자를 선 정의된 2자리 숫자로 바꿔치기하는 것입니다. 해당 숫자의 목록은 아래와 같습니다.
<이미지 출처: https://securityaffairs.co/wordpress/88310/malware/loocipher-ransomware-decryptor.html>
따라서 일단 난독화된 키를 받아오기만 하면 이를 재구성하여 원본 키를 복원하고 모든 파일을 복호화 할 수 있게 됩니다.
중요한 것은 난독화된 키를 추출해내는 것입니다. Fortinet은 아래 두 가지 방법으로 난독화 키를 추출할 수 있다고 밝혔습니다.
- 악성코드가 키를 C2로 보낼 때 네트워크 트래픽에 인터셉트합니다. 키는 단 한 번만 보내지며 해당 요청을 포함하는 네트워크 트래픽을 정확히 캡처하는 것이 필요하기 때문에 이 방식은 실행이 어렵습니다.
- 암호화가 끝난 후 LooCipher 프로세스의 메모리 맵을 탐색합니다. C2에 연결하는데 사용된 키를 포함하는 전체 경로는 여전히 프로세스 메모리 위치에 저장되어 있습니다. 능숙하지 않은 사용자들에게는 복잡할 수 있습니다.
Cybaze-Yoroi ZLab의 전문가들은 비밀키를 추출하여 LooCipher 랜섬웨어로 암호화된 모든 파일을 복호화 하는 과정을 자동화한 툴을 공개했습니다.
이 툴은 LooCipher 프로세스가 활성화되어 있어야 사용할 수 있습니다.
키가 포함된 프로세스 메모리가 재설정 되기 때문에, 프로세스가 종료되거나 PC가 다시 시작될 경우 동작하지 않습니다.
현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.LooCipher'으로 탐지 중에 있습니다.
출처:
https://securityaffairs.co/wordpress/88310/malware/loocipher-ransomware-decryptor.html
https://blog.yoroi.company/research/loocipher-the-new-infernal-ransomware/
https://www.fortinet.com/blog/threat-research/loocipher-can-encrypted-files-be-recovered.html
'국내외 보안동향' 카테고리의 다른 글
| FBI, GandCrab 랜섬웨어용 마스터 복호화 키 공개해 (0) | 2019.07.17 |
|---|---|
| 워드프레스 Ad Inserter 플러그인 취약점 발견 (0) | 2019.07.16 |
| 2,500만 기기를 감염시킨 Agent Smith 안드로이드 악성코드 발견 (0) | 2019.07.12 |
| Rig 익스플로잇 키트, 드라이브 바이 다운로드 통해 ERIS 랜섬웨어 유포 (0) | 2019.07.10 |
| 백도어가 포함된 토렌트, 사용자들 GoBot2 악성코드에 감염 시켜 (0) | 2019.07.09 |
댓글 영역