Lorenz 랜섬웨어용 무료 복호화툴 개발돼

 

 

Experts developed a free decryptor for the Lorenz ransomware

 

Lorenz 랜섬웨어 그룹은 지난 4월부터 활동해 왔으며, 전 세계 여러 조직을 공격해 피해자에게 수십만 달러의 랜섬머니를 요구했습니다.

 

다른 랜섬웨어 그룹과 마찬가지로, Lorenz 운영자 또한 데이터를 암호화하기 전 이를 훔치고 피해자가 랜섬머니를 지불하지 않을 경우 이를 이용하여 협박하는 이중 갈취 전략을 사용합니다. 랜섬머니는 50만~70만 달러 사이로 꽤 높은 편입니다.

 

Tesorion의 연구원들은 랜섬웨어를 분석 후 일부의 경우 피해자가 파일을 무료로 복호화할 수 있는 복호화 툴을 개발했습니다. 해당 보안 회사는 NoMoreRansom 이니셔티브를 통해 곧 이 복호화 툴을 공개할 예정입니다.

 

Lorenz 랜섬웨어는 CBC 모드에서 RSA와 AES-128 조합을 통해 파일을 암호화하고, 각 파일용 랜덤 비밀번호를 생성하여 사용하며, CryptDeriveKey기능을 통해 얻은 암호화 키를 사용하는 것으로 알려져있습니다.

 

이 랜섬웨어는 Microsoft Visual Studio 2015 C++로 작성되었을 가능성이 높습니다. 또한 전문가가 분석한 샘플은 디버깅 정보와 함께 컴파일된 상태였기 때문에 분석이 더욱 쉬웠습니다.

 

Lorenz는 시작 시 “wolf”라는 뮤텍스를 생성하여 감염된 시스템에서 한 번만 실행되도록 합니다. Lorenz는 파일을 암호화하기 전 감염된 시스템의 이름을 C2로 전송합니다.

 

“랜섬웨어로 암호화된 파일에는 일반적으로 푸터(footer)가 포함되어 있습니다. 파일에 추가하기 쉽기 때문입니다. 하지만 Lorenz는 파일을 암호화하기 전 푸터 대신 헤더(header)를 추가합니다. 따라서 랜섬웨어가 모든 파일을 복사해야하기 때문에 효율성이 떨어집니다.”

“이 헤더는 ‘.sz40’을 포함하고 있으며, RSA로 암호화된 파일 암호화 키로 이어집니다. 암호화된 파일 헤더가 추가된 후 모든 파일은 48 바이트의 작은 블록으로 전체적으로 암호화됩니다. 암호화된 파일은 ‘.Lorenz.sz40’ 확장자가 붙습니다.”

 

전문가들은 암호화 프로세스 중에서도 특히 CryptEncrypt 함수 사용에서 취약점을 발견했습니다.

 

“이 취약점으로 인해 48바이트의 배수인 모든 파일의 마지막 48 바이트가 손실됩니다. 따라서 악성코드 제작자로부터 복호화툴을 구매했다고 하더라도 해당 바이트는 복구될 수 없습니다.”

 

전문가들은 일부의 경우 손상되지 않은 암호화된 파일을 랜섬머니를 지불하지 않고도 복구가 가능하다고 밝혔습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/119492/cyber-crime/lorenz-ransomware-free-decryptor.html

https://www.tesorion.nl/en/posts/lorenz-ransomware-analysis-and-a-free-decryptor/