Atom Silo와 LockFile 랜섬웨어용 무료 복호화 툴 공개돼

 

Free decryptor released for Atom Silo and LockFile ransomware

 

Avast가 AtomSilo 및 LockFile 랜섬웨어 피해자가 랜섬머니를 지불하지 않고도 일부 파일을 무료로 복구할 수 있는 복호화 툴을 공개했습니다.

 

연구원들은 이 복호화 툴로 알 수 없거나, 독점적이거나, 형식이 없는 파일은 복호화하지 못할 수 있다고 설명했습니다.

 

Avast의 위협 인텔리전스 팀은 아래와 같이 밝혔습니다.

 

"Avast의 AtomSilo 복호화 툴은 파일이 제대로 복호화되었는지 확인하기 위해 알려진 파일 형식을 사용합니다. 따라서 일부 파일은 정상적으로 복호화되지 않을 수 있습니다.”

 

이 복호화 툴은 두 랜섬웨어 변종 모두에 동작합니다. 이 둘은 공격자가 다른 공격 방식을 사용하여 피해자의 네트워크에 배포했지만 매우 유사하기 때문입니다.

 

복호화기는 피해자의 네트워크에 배포하는 그룹이 다른 공격 전술을 사용하더라도 매우 유사하기 때문에 두 랜섬웨어 변종 모두에 대해 작동합니다.

 

Avast Threat Labs는 이달 초 AtomSilo 랜섬웨어의 취약점을 발견한 RE – CERT의 악성코드 분석가인 Jiří Vinopal과 협력해 해당 복호화 툴을 만들 수 있었다고 설명했습니다.

 

AtomSilo와 LockFile 피해자는 Avast 서버에서 복호화 툴을 다운로드 후 UI에 표시된 지침을 통해 전체 디스크 파티션을 복호화할 수 있습니다.

 

BleepingComputer는 Avast의 무료 복호화 툴을 테스트 결과 Atom Silo 샘플로 암호화된 파일을 복구할 수 있었습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-atom-silo-and-lockfile-ransomware/>

<Avast의 Atom Silo 복호화 툴>

 

 

LockFile 랜섬웨어는 지난 2021년 7월 공격자들이 ProxyShell 및 PetitPotam 취약점을 아직 패치하지 않은 서버를 악용 후 윈도우 도메인을 탈취하고 기기를 암호화한 이후 처음으로 발견되었습니다.

 

LockFile 랜섬웨어는 파일을 암호화한 후 파일 이름에 .lockfile 확장자를 추가하고 '[피해자명]-LOCKFILE-README.hta'과 같은 형식으로 명명된 랜섬노트를 드롭합니다.

 

흥미로운 점은 LockFile의 색 구성과 랜섬노트 레이아웃이 LockBit 랜섬웨어와 매우 유사하다는 것입니다. 하지만 두 그룹 사이에는 아무런 관련이 없는 것으로 보입니다.

 

Atom Silo는 최근에 운영자가 패치했지만 적극적으로 악용되는 취약점이 있는 Confluence Server 및 Data Center 서버를 노리는 새로이 발견된 랜섬웨어입니다.

 

SophosLabs에 따르면, Atom Silo가 사용하는 랜섬웨어는 LockFile과 거의 동일합니다.

 

하지만 Atom Silo는 엔드포인트 보호 솔루션을 방해하는 악성 동적 링크 라이브러리를 사이드로딩하는 등 공격을 분석하는 것을 매우 어렵도록 만드는 새로운 기술을 사용합니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-atom-silo-and-lockfile-ransomware/

https://decoded.avast.io/threatintel/decryptor-for-atomsilo-and-lockfile-ransomware/