상세 컨텐츠

본문 제목

Lorenz 랜섬웨어용 무료 복호화툴 개발돼

국내외 보안동향

by 알약4 2021. 6. 30. 14:00

본문

 

 

Experts developed a free decryptor for the Lorenz ransomware

 

Lorenz 랜섬웨어 그룹은 지난 4월부터 활동해 왔으며, 전 세계 여러 조직을 공격해 피해자에게 수십만 달러의 랜섬머니를 요구했습니다.

 

다른 랜섬웨어 그룹과 마찬가지로, Lorenz 운영자 또한 데이터를 암호화하기 전 이를 훔치고 피해자가 랜섬머니를 지불하지 않을 경우 이를 이용하여 협박하는 이중 갈취 전략을 사용합니다. 랜섬머니는 50~70만 달러 사이로 꽤 높은 편입니다.

 

Tesorion의 연구원들은 랜섬웨어를 분석 후 일부의 경우 피해자가 파일을 무료로 복호화할 수 있는 복호화 툴을 개발했습니다. 해당 보안 회사는 NoMoreRansom 이니셔티브를 통해 곧 이 복호화 툴을 공개할 예정입니다.

 

Lorenz 랜섬웨어는 CBC 모드에서 RSAAES-128 조합을 통해 파일을 암호화하고, 각 파일용 랜덤 비밀번호를 생성하여 사용하며, CryptDeriveKey기능을 통해 얻은 암호화 키를 사용하는 것으로 알려져있습니다.

 

이 랜섬웨어는 Microsoft Visual Studio 2015 C++로 작성되었을 가능성이 높습니다. 또한 전문가가 분석한 샘플은 디버깅 정보와 함께 컴파일된 상태였기 때문에 분석이 더욱 쉬웠습니다.

 

Lorenz는 시작 시 “wolf”라는 뮤텍스를 생성하여 감염된 시스템에서 한 번만 실행되도록 합니다. Lorenz는 파일을 암호화하기 전 감염된 시스템의 이름을 C2로 전송합니다.

 

“랜섬웨어로 암호화된 파일에는 일반적으로 푸터(footer)가 포함되어 있습니다. 파일에 추가하기 쉽기 때문입니다. 하지만 Lorenz는 파일을 암호화하기 전 푸터 대신 헤더(header)를 추가합니다. 따라서 랜섬웨어가 모든 파일을 복사해야하기 때문에 효율성이 떨어집니다.”

“이 헤더는 ‘.sz40’을 포함하고 있으며, RSA로 암호화된 파일 암호화 키로 이어집니다. 암호화된 파일 헤더가 추가된 후 모든 파일은 48 바이트의 작은 블록으로 전체적으로 암호화됩니다. 암호화된 파일은 ‘.Lorenz.sz40’ 확장자가 붙습니다.”

 

전문가들은 암호화 프로세스 중에서도 특히 CryptEncrypt 함수 사용에서 취약점을 발견했습니다.

 

이 취약점으로 인해 48바이트의 배수인 모든 파일의 마지막 48 바이트가 손실됩니다. 따라서 악성코드 제작자로부터 복호화툴을 구매했다고 하더라도 해당 바이트는 복구될 수 없습니다.”

 

전문가들은 일부의 경우 손상되지 않은 암호화된 파일을 랜섬머니를 지불하지 않고도 복구가 가능하다고 밝혔습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/119492/cyber-crime/lorenz-ransomware-free-decryptor.html

https://www.tesorion.nl/en/posts/lorenz-ransomware-analysis-and-a-free-decryptor/

관련글 더보기

댓글 영역