FBI, ProLock 랜섬웨어 복호화 툴이 제대로 동작하지 않는다고 경고해

FBI warns of ProLock ransomware decryptor not working properly

많은 랜섬웨어가 코로나바이러스 팬데믹 상황을 엄청나게 바빠진 의료 부문을 공격할 완벽한 기회로 삼고 있습니다. 그리고 ProLock 또한 이 대열에 합류했습니다.

FBI는 이달 초 미국의 의료 기관, 정부, 금융 기관, 소매업 등을 노리는 새로운 공격 조직에 대한 경고를 발행했습니다.

제대로 작동하지 않는 복호화 툴

FBI는 랜섬웨어 공격자의 요구에 응하지 말 것을 권장합니다. 그들의 요구에 응할 경우, 더 많은 공격을 실행하도록 북돋아주는 꼴이 되기 때문입니다.

ProLock의 복호화 툴이 제대로 동작하지 않아 복호화 툴 사용 시, 데이터가 손실되는 것으로 나타났습니다. 64MB보다 큰 파일은 복호화 과정 중 손상될 것입니다.

100MB가 넘는 파일의 경우 1KB 당 1 바이트가 손상될 것이며, 복호화 툴이 제대로 동작하기 위해서는 추가적인 작업이 필요합니다. 

따라서 랜섬웨어 공격자의 요구에 응해 복호화 툴을 받더라도 조직의 다운 타임이 증가하게 됩니다.

이 악성코드는 지난 2019년 말 PwndLocker로 처음 시작됐지만, 기업 및 로컬 정부를 공격하며 해킹된 네트워크의 규모를 고려하여 랜섬머니를 조정하며 점점 유명해졌습니다.

하지만 PwndLocker에는 무료로 파일을 복호화할 수 있었던 취약점이 존재했으며, 이를 수정한 후 지난 3월부터는 ProLocker로 활동을 확대해 나갔습니다.

유명 보안 연구원인 Brian Krebs는 최근 Diebold Nixdorf 및 일리노이 주 Lasalle 카운티에서 발생한 공격이 ProLock 랜섬웨어의 소행이라 밝혔습니다.

Emsisoft의 CTO인 Fabian Wosar에 따르면, Diebold가 공격자에게 돈을 지불하지 않는 것이 최선의 방법일 것이라 밝혔습니다. 

ProLock 복호화 툴의 현재 버전이 데이터베이스 파일과 같이 용량이 큰 파일을 손상시킬 것이기 때문입니다.

다행히 Emsisoft에서 이 복호화 툴의 오류를 수정하여 ProLock으로 암호화된 파일을 제대로 복구할 수 있지만, 이미 랜섬머니를 지불한 피해자들에게만 효과가 있습니다.

Wosar는 복호화 툴의 취약점를 수정하는 툴이 있지만, 랜섬웨어 제작자의 복호화 키가 없는 이상 동작하지 않을 것이라고 밝혔습니다.

출처:

https://www.bleepingcomputer.com/news/security/fbi-warns-of-prolock-ransomware-decryptor-not-working-properly/

https://securityaffairs.co/wordpress/103380/malware/fbi-prolock-ransomware-decryptor-alert.html