RansomEXX 랜섬웨어 리눅스 버전 암호화기, 피해자의 파일을 손상시킬 수 있어

 

 

RansomEXX ransomware Linux encryptor may damage victims' files

 

사이버 보안 회사인 Profero가 RansomExx 공격 그룹이 암호화 중에 리눅스 파일을 올바르게 암호화하지 않아 잠재적으로 파일을 손상시킬 수 있음을 발견했습니다.

 

Profero의 Brenton Morris는 보고서를 통해 RansomEXX에 돈을 지불하고 복호화 툴을 받아 실행한 한 피해자가 리눅스 VMware ESXi 시스템에서 파일 다수를 복호화하는데 실패했다고 밝혔습니다.

 

Profero는 RansomExx 리눅스 버전 암호화기를 리버스 엔지니어링 한 결과, 파일이 암호화되는 동안 올바르게 잠기지 않아 파일 손상이 발생한다는 사실을 발견했습니다.

 

파일을 잠그지 않은 상태에서 다른 프로세스가 리눅스 파일에 쓰는 것과 동시에 랜섬웨어가 리눅스 파일을 암호화하려 시도할 경우, 암호화된 파일에는 아래와 같이 암호화된 데이터와 그 뒤에 추가된 암호화되지 않은 데이터가 모두 포함됩니다.

 

 

<이미지 출처 : https://medium.com/proferosec-osm/ransomexx-fixing-corrupted-ransom-8e379bcaf701>

<암호화된 데이터와 암호화되지 않은 데이터가 혼합된 암호화된 파일>

 

 

"일부 리눅스 랜섬웨어 변종은 fcntl을 통해 파일을 잠그려 시도하는 반면, 일부 변종은 종종 파일을 쓸 때 파일 손상 위험을 고의로 무시하거나 리눅스 프로그래밍 능력 부족으로 의도치 않게 파일 잠금을 시도하지 않습니다. RansomEXX의 리눅스 버전은 파일 잠금을 전혀 시도하지 않았습니다."

 

RansomExx는 파일을 암호화할 때 각 암호화된 파일의 끝에 RSA 암호화 복호화 키를 추가합니다.

 

피해자가 랜섬머니를 지불할 경우 공격자는 각 파일의 암호화된 복호화 키를 복호화한 다음 이를 통해 파일 내용을 복호화할 수 있는 복호화 툴을 제공합니다.

 

그러나 이러한 문제가 있는 암호화된 파일은 파일 끝에 암호화되지 않은 데이터가 추가되었기 때문에 복호화 툴이 암호화된 키를 제대로 읽을 수 없어 파일 복호화에 실패합니다.

 

 

수정된 복호화 툴 공개돼

 

Profero는 이러한 문제가 발생한 암호화된 파일을 복호화할 수 있는 오픈소스 RansomEXX 복호화 툴을 공개했습니다.

 

 

<이미지 출처 : https://medium.com/proferosec-osm/ransomexx-fixing-corrupted-ransom-8e379bcaf701>

<Profero의 RansomEXX 복호화 툴>

 

 

피해자는 이 복호화 툴을 사용하기 위해서 여전히 공격자로부터 복호화 키를 얻어 내야 합니다.

 

이 복호화툴에 대한 자세한 내용은 Profero의 게시물 및 복호화툴의 GitHub 페이지에서 확인하실 수 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/ransomexx-ransomware-linux-encryptor-may-damage-victims-files/

https://medium.com/proferosec-osm/ransomexx-fixing-corrupted-ransom-8e379bcaf701

https://github.com/proferosec/RansomEXX-Tools