Ryuk 랜섬웨어에서 피해자 데이터를 손상시킬 수 있는 버그 발견돼

Ryuk ransomware contains a bug causing data loss for some victims

안티 바이러스 업체인 Emsisoft가 Ryuk 랜섬웨어에게 랜섬머니를 지불하고 제공받는 복호화 툴에서 심각한 버그를 발견했다고 밝혔습니다. 

이 버그 때문에 피해자들은 랜섬머니를 지불했더라도 파일 타입 중 일부를 불완전한 상태로 복구하여 데이터가 손실될 수 있습니다.

이 복호화 툴은 파일을 복호화 시 파일의 맨 끝에 있는 데이터 1바이트를 자르는 것으로 나타났습니다.

일반적으로 마지막 1바이트는 padding용으로 사용되어 큰 문제가 없지만 일부 파일 확장자는 마지막 바이트에 중요한 정보를 포함해 제거될 경우 영구적으로 데이터가 손상되어 오픈되지 않을 수 있습니다.

“VHD/VHDX를 포함한 많은 가상화 디스크 타입 파일 및 많은 데이터베이스 파일은 마지막 바이트에 중요한 정보를 저장합니다. 이러한 방식으로 파일이 손상을 입을 경우 복호화된 후에도 파일이 정상적으로 로드될 수 없습니다.” 

연구원들은 이 버그를 발견했으며, 마지막 바이트를 누락시키지 않고 파일을 복호화하기 위해 Ryuk의 복호화 툴을 수정하는 것이 가능할지 모른다고 밝혔습니다. 

하지만 이 툴에서는 또 다른 문제가 발견되었습니다. 

Ryuk의 복호화 툴에서 발견된 두 번째 문제는 암호화된 파일 원본을 삭제한다는 것입니다. 즉 피해자는 복호화 툴이 수정된다 하더라도 동일한 파일을 다시 복호화할 수 없다는 것입니다. 

이 문제로 인해 연구원들은 긴급 공익 광고(PSA)를 발표해 랜섬웨어 피해자들에게 Ryuk의 복호화 툴이 작업에 실패하고 파일을 삭제할 경우를 대비하여 암호화된 파일의 복사본을 만들어 둘 것을 권장했습니다.

연구원들은 Ryuk으로부터 받은 복호화 툴을 수정하기를 희망할 경우 ryukhelp@emsisoft.com로 연락하면 도움을 받을 수 있을 것이라 밝혔습니다. Emsisoft는 이제껏 많은 무료 랜섬웨어 복호화 툴을 공개해왔습니다. 하지만 이번 작업은 복호화 툴을 하나씩 고쳐야 하기 때문에 많은 시간이 소요되므로 유료 서비스로 진행한다고 밝혔습니다.

Ryuk은 오늘날 가장 활발히 활동하는 랜섬웨어 변종 중 하나입니다. 이 랜섬웨어는 기존 악성코드 감염을(보통 Emotet 또는 TrickBot 트로이목마) 발판 삼아 기업 네트워크에 배포됩니다.

관리 서비스 제공 업체인 T-systems, 금융 서비스 제공 업체인 ASD Audit, 절연 기술 제조사인 TECNOL, 자동화 툴 제조사인 Pliz, 미국의 New Bedford 시, Tribune Publishing, 관리 서비스 제공 업체인 PerCSoft, IT 서비스 제공 업체인 CloudJumper, 미국의 Lake City 시를 포함한 많은 곳이 Ryuk 랜섬웨어의 공격을 받아 피해를 입었습니다.

출처:

https://www.zdnet.com/article/ryuk-ransomware-contains-a-bug-causing-data-loss-for-some-victims/

https://blog.emsisoft.com/en/35023/bug-in-latest-ryuk-decryptor-may-cause-data-loss/