Sodinokibi 랜섬웨어, 오픈 후 잠금 상태인 파일 암호화 가능해져

Sodinokibi ransomware can now encrypt open and locked files

Sodinokibi(REvil) 랜섬웨어가 다른 프로세스가 오픈한 후 잠금 상태인 파일을 암호화할 수 있는 새로운 기능을 추가했습니다.

데이터베이스나 메일 서버와 같은 일부 애플리케이션은 자신이 오픈한 파일을 잠가 다른 프로그램이 수정할 수 없도록 합니다. 

이로써 두 프로세스가 동시에 한 파일에 데이터를 써서 데이터가 손상되는 것을 예방합니다.

이러한 이유로, 많은 랜섬웨어가 컴퓨터를 암호화하기 전 데이터베이스 서버, 메일 서버를 포함한 파일을 잠그는 애플리케이션을 종료하려 시도합니다.

Sodinokibi, 파일을 잠그는 프로세스 자동으로 종료시켜

많은 랜섬웨어가 파일을 잠그는 것으로 알려진 애플리케이션을 종료시키려 시도하지만, 모든 프로그램을 종료할 수는 없었습니다.

Intel471의 연구원들은 보고서를 공개해 Sodinokibi가 암호화 작업 중 Windows Restart Manager API를 통해 파일을 오픈된 상태로 유지하는 프로세스를 닫거나 윈도우 서비스를 종료하고 있다고 밝혔습니다.

<Windows Restart Manager를 사용하는 랜섬웨어 코드>

<이미지 출처: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-can-now-encrypt-open-and-locked-files/>

마이크로소프트는 업데이트를 통해 변경해야 하는 파일을 해제(free)하기 위한 재시작 없이도 소프트웨어 업데이트를 좀 더 쉽게 설치하도록 하기 위해 이 API를 만들었습니다.

Restart Manager API는 설치 및 업데이트를 완료하기까지 필요한 재부팅을 없애거나 재부팅 횟수를 줄일 수 있습니다. 

소프트웨어 업데이트 중 시스템을 다시 시작해야 하는 가장 큰 이유는 업데이트가 필요한 파일이 다른 프로그램이나 서비스에서 사용 중이기 때문입니다. 

Restart Manager는 중요 시스템 서비스를 제외한 모든 서비스를 종료 및 실행하도록 할 수 있습니다. 이로써 사용 중인 파일을 해제하여 설치 작업이 완료되도록 합니다.

랜섬웨어 개발자들은 이 API를 암호화 과정에만 사용하는 것이 아니라 복호화 툴에서도 사용하고 있었습니다.

<Sodinokibi 복호화 툴>

<이미지 출처: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-can-now-encrypt-open-and-locked-files/>

보안 연구원인 Vitali Kremez는 REvil Decryptor v2.2에서 복호화를 시도할 때 어떤 프로세스도 파일을 오픈 상태로 유지하지 않도록 하기 위해 Windows Restart Manager API를 사용했다고 밝혔습니다.

<복호화 툴에서 사용된 Windows Restart Manager API>

<이미지 출처: https://twitter.com/VK_Intel/status/1258839191548542977/photo/1>

Sodinokibi/REvil은 이 API를 활용하는 첫 랜섬웨어는 아닙니다. SamSam과 LockerGoga 또한 이 기능을 이미 사용하고 있었습니다.

Sodinokibi는 이러한 기능을 추가함으로써 더 중요한 파일을 더 많이 암호화할 수 있게 되었습니다. 

현재 알약에서는 해당 랜섬웨어 샘플에 대해 'Trojan.Ransom.Sodinokibi'으로 탐지 중입니다.

출처:

https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-can-now-encrypt-open-and-locked-files/

https://blog.intel471.com/2020/05/04/changes-in-revil-ransomware-version-2-2/