상세 컨텐츠

본문 제목

암호화를 위해 구글 유틸리티를 사용하는 AgeLocker 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2020. 7. 15. 15:00

본문

New AgeLocker Ransomware uses Googler's utility to encrypt files


새로운 타깃형 랜섬웨어인 AgeLocker가 발견되었습니다. 이 랜섬웨어는 피해자의 파일을 암호화하기 위해 구글 직원인 Filippo Valsorda가 만든 ‘Age’ 암호화 툴을 악용하는 것으로 나타났습니다.


BleepingComputer는 제보받은 암호화된 파일을 조사한 결과 'age-encryption.org' URL로 시작되는 텍스트 헤더가 각 파일에 추가된 것을 발견했습니다.

 


<AgeLocker로 암호화된 파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-agelocker-ransomware-uses-googlers-utility-to-encrypt-files/>



암호화된 파일에 추가된 텍스트 헤더의 예는 아래와 같습니다.



age-encryption.org/v1

-> X25519 O9LABKJJggKQAsCbCQzPQFz0XwOHXSljEJU2xwS3zHA

Ildq7HXhtndUkpcHnz1+jnFjkpPK8wrVbDSbYXye2wg

--- Rwz4uNO8q6DbP1gbGuSVIA7W2wUKNluxyvMHuAJNIyM



age-encryption.org URL을 방문하면 구글의 암호 해석가이자 Go 보안 책임자인 Filippo Valsorda가 제작한 암호화 툴인 ‘Age’ 유틸리티의 GitHub 저장소로 연결됩니다.


Age 매뉴얼에 따르면, 이 유틸리티는 “파일, 백업, 스트림”을 암호화하기 위한 GPG를 대체하기 위해 설계되었습니다.


“이는 단순한 파일 암호화 CLI 툴, Go 라이브러리, 포맷을 위해 설계되었습니다. 파일, 백업, 스트림 등을 암호화할 때 GPG 대신 사용하기 위해 만들었습니다. Age는 Actually Good Encryption의 약자이며 ‘아게’로 발음됩니다.”


AgeLocker 랜섬웨어 개발자는 AES+RSA와 같이 흔히 사용되는 암호화 알고리즘을 사용하는 대신 피해자의 파일을 암호화하기 위해 Age 명령 줄 도구를 사용하는 것으로 보입니다.


랜섬웨어 복호화 전문가인 Michael Gillespie는 Age가 X25519 (ECDH 곡선), ChaChar20-Poly1305, HMAC-SHA256 알고리즘을 사용해 매우 안전하게 파일을 암호화한다고 설명했습니다.


BleepingComputer는 구글 직원인 Valsorda에게 연락해 피해자를 위한 조언을 요청했지만 아직까지 답변을 받지 못한 상태입니다.



AgeLocker 랜섬노트, 이메일을 통해 전송돼


공격자가 어떻게 피해자의 컴퓨터에 접근할 수 있었는지는 알 수 없었습니다.


이 랜섬웨어는 시스템에 접근하는데 성공하자마자 Age 암호화 툴을 활용하여 피해자의 파일을 암호화합니다.


또한 암호화가 완료된 각 파일명의 끝에 피해자의 이니셜로 생성된 커스텀 확장자를 붙입니다.


공격자는 컴퓨터 내 랜섬 노트를 생성하는 대신 이메일을 통해 랜섬 노트를 전송합니다. 이는 기존 랜섬웨어가 사용하지 않았으며 AgeLocker가 처음으로 사용한 전략입니다.


이 랜섬웨어에 피해를 입은 사용자의 제보에 따르면, 그는 기기가 암호화된 후 “[회사 이름] 보안 감사”([company name] security audit)라는 제목의 이메일을 받았습니다.


이 랜섬노트에는 기기가 랜섬웨어 공격을 받아 암호화되었다는 사실과 돈을 지불할 수 있는 방법이 포함되어 있습니다.



Hello XXX and XXX,

 

Unfortunately a malware has infected your network and a millions of files has been encrypted using a hybrid encryption scheme. 

File names encrypted too.

 

Encrypted hosts are:

 

Storage:

1. XXX

2. XXX

3. XXX

4. XXX

5. XXX

Mac + external drives

1. XXX?

2. XXX?

3. XXX

4. XXX

5. XXX

6. XXX

 

You have to pay for decryption in Bitcoins.

The price depends on how fast you write us.

After payment we will send you the tool(for mac and linux) that will decrypt all your files. 

 

Free decryption as guarantee

 

Before paying you can send us up to 5 files for free decryption.

The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.), file name shouldn't be changed.

 

How to obtain Bitcoins

 

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.

https://localbitcoins.com/buy_bitcoins

 

Also you can find other places to buy Bitcoins and beginners guide here:

http://www.coindesk.com/information/how-can-i-buy-bitcoins/

 

Attention!

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

 

Note: we can answer up to 6-9 hours, because of another timezone."



피해자에 따르면 공격자는 파일 해독을 위해 약 $64,500 상당인 7 비트코인을 요구했습니다.


불행히도 현재로서는 Age 랜섬웨어로 암호화된 파일을 무료로 복구할 수 있는 방법은 없는 상태입니다.





출처:

https://www.bleepingcomputer.com/news/security/new-agelocker-ransomware-uses-googlers-utility-to-encrypt-files/

https://www.bleepingcomputer.com/forums/t/726030/agelocker-ransomware-support-topic/

관련글 더보기

댓글 영역