포스팅 내용

국내외 보안동향

LooCipher 랜섬웨어용 복호화 툴 개발돼

Exclusive, experts at Yoroi-Cybaze ZLab released a free decryptor for Loocipher Ransomware


Yoroi-Cybaze ZLab의 전문가들이 빠르게 확산되고 있는 새로운 랜섬웨어인 LooCipher 랜섬웨어의 복호화 툴을 공개했습니다.



Fortinet에 따르면, LooCipher 랜섬웨어가 사용한 암호화 알고리즘은 16바이트 키를 사용하는 AES-128 ECB(Electric CodeBook mode)입니다. 


키는 선 정의된 문자 배열에서 시작하여 랜덤한 방식으로 생성됩니다.



<이미지 출처: https://www.fortinet.com/blog/threat-research/loocipher-can-encrypted-files-be-recovered.html>



AES는 대칭 키 알고리즘이기 때문에, 키를 받아오면 모든 암호화된 파일을 복구시킬 수 있습니다. 해당 키는 GET 파라미터로 ("k=") HTTP를 통해 C2로 보내지지만 난독화되어 있습니다.



<이미지 출처: https://blog.yoroi.company/research/loocipher-the-new-infernal-ransomware/>



이 난독화 방식은 매우 단순한데, 키의 문자를 선 정의된 2자리 숫자로 바꿔치기하는 것입니다. 해당 숫자의 목록은 아래와 같습니다.



<이미지 출처: https://securityaffairs.co/wordpress/88310/malware/loocipher-ransomware-decryptor.html>



따라서 일단 난독화된 키를 받아오기만 하면 이를 재구성하여 원본 키를 복원하고 모든 파일을 복호화 할 수 있게 됩니다.


중요한 것은 난독화된 키를 추출해내는 것입니다. Fortinet은 아래 두 가지 방법으로 난독화 키를 추출할 수 있다고 밝혔습니다.


- 악성코드가 키를 C2로 보낼 때 네트워크 트래픽에 인터셉트합니다. 키는 단 한 번만 보내지며 해당 요청을 포함하는 네트워크 트래픽을 정확히 캡처하는 것이 필요하기 때문에 이 방식은 실행이 어렵습니다.

- 암호화가 끝난 후 LooCipher 프로세스의 메모리 맵을 탐색합니다. C2에 연결하는데 사용된 키를 포함하는 전체 경로는 여전히 프로세스 메모리 위치에 저장되어 있습니다. 능숙하지 않은 사용자들에게는 복잡할 수 있습니다.


Cybaze-Yoroi ZLab의 전문가들은 비밀키를 추출하여 LooCipher 랜섬웨어로 암호화된 모든 파일을 복호화 하는 과정을 자동화한 툴을 공개했습니다. 


이 툴은 LooCipher 프로세스가 활성화되어 있어야 사용할 수 있습니다. 


키가 포함된 프로세스 메모리가 재설정 되기 때문에, 프로세스가 종료되거나 PC가 다시 시작될 경우 동작하지 않습니다.


현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.LooCipher'으로 탐지 중에 있습니다.


LooCipher 복호화 툴 다운로드 바로가기





출처:

https://securityaffairs.co/wordpress/88310/malware/loocipher-ransomware-decryptor.html

https://blog.yoroi.company/research/loocipher-the-new-infernal-ransomware/

https://www.fortinet.com/blog/threat-research/loocipher-can-encrypted-files-be-recovered.html

티스토리 방명록 작성
name password homepage