ThiefQuest 랜섬웨어용 무료 복호화 툴 공개돼

Free decryptor available for ThiefQuest ransomware victims

사이버 보안 회사인 SentinelOne이 피해자가 ThiefQuest 랜섬웨어로 암호화된 파일을 복호화 할 수 있는 무료 복호화 툴을 공개했습니다.

처음에는 EvilQuest로 명명되었던 ThiefQuest 랜섬웨어는 Mac 사용자만을 노립니다.

ThiefQuest를 랜섬웨어로만 분류하기에는 다소 미흡합니다. 

이 악성코드는 키 입력 로깅, 감염된 호스트에 백도어 접근을 위한 리버스 셸, 가상 화폐 관련 데이터 탈취, 파일 암호화(랜섬웨어 부분)을 모두 포함하고 있습니다.

보안 연구원들은 지난 한 달 이상 실제 공격에서 이 악성코드를 목격할 수 있었습니다. 

주로 해적판 소프트웨어를 배포하는 토렌트 포털과 온라인 포럼에 숨어있는 상태였습니다.

 

<이미지 출처: https://www.zdnet.com/article/free-decryptor-available-for-thiefquest-ransomware-victims/>

THIEFQUEST의 랜섬웨어 컴포넌트에서 취약점 발견

이전에 이루어진 분석 결과에 따르면 이 악성코드는 초기 개발 단계인 것으로 보이며, 일부 구성 요소가 올바르게 작동하지 않는 것으로 보입니다.

결함이 발견된 컴포넌트 중 하나는 랜섬웨어이며 아직까지 다듬어지지 않은 기능이 많이 포함된 것으로 보입니다.

연구원들은 ThiefQuest가 macOS 시스템을 감염시킨 후 즉시 파일 암호화를 시작한다고 설명했습니다. 

하지만 이 악성코드는 어떤 피해자가 랜섬머니를 지불했는지 추적하지 않으며, 사용자가 돈을 지불한다 하더라도 공격자에게 연락을 취할 방법도 없습니다.

 

<이미지 출처: https://www.zdnet.com/article/free-decryptor-available-for-thiefquest-ransomware-victims/>

따라서 6월 초 이후로 ThiefQuest에 감염된 사용자는 랜섬머니를 지불하더라도 파일을 복구하지 못한 상태로 남아있습니다.

SENTINELONE, 무료 복호화 툴 공개해

SentinelOne의 보안 연구원들은 랜섬웨어의 소스 코드와 암호화된 파일과 원본을 대조 분석한 결과 ThiefQuest의 암호화 메커니즘을 리버스 엔지니어링할 수 있었다고 밝혔습니다.

연구원들은 블로그를 통해 TheifQuest는 RC2 알고리즘을 기반으로 한 단순한 대칭 키 암호화 알고리즘을 사용하고 랜섬웨어가 encryption/decryption 키를 잠금한 각 파일 내부에 저장한다고 밝혔습니다.

따라서 이 키를 추출하고 피해자 파일의 잠금을 해제할 수 있는 복호화 툴을 개발할 수 있었다고 설명했습니다.

ThiefQuest 복호화 툴은 현재 바이너리 형식으로 제공되지만, 추후 코드를 오픈소스화할 계획이라고 밝혔습니다.

복호화 툴은 여기에서 직접 다운로드하거나 SentinelOne의 기술 보고서 하단의 다운로드 링크를 통해 받아보실 수 있습니다. 

출처:

https://www.zdnet.com/article/free-decryptor-available-for-thiefquest-ransomware-victims/

https://github.com/Sentinel-One/foss/tree/master/s1-evilquest-decryptor

https://labs.sentinelone.com/breaking-evilquest-reversing-a-custom-macos-ransomware-file-encryption-routine/