상세 컨텐츠

본문 제목

우크라이나의 HermeticRansom 랜섬웨어 피해자용 무료 복호화 툴 공개돼

국내외 보안동향

by 알약4 2022. 3. 4. 09:00

본문

 

Free decryptor released for HermeticRansom victims in Ukraine

 

Avast에서 지난 10일 동안 우크라이나 시스템을 노린 타깃형 공격에 사용된 HermeticRansom 랜섬웨어에 대한 을 공개했습니다.

 

해당 복호화 툴은 Avast의 웹사이트에서 무료로 다운로드 가능하며, 우크라이나 시민이 데이터를 빠르고 안정적으로 복구할 수 있도록 합니다.

 

지난 223, ESET 연구원은 러시아 군대가 우크라이나를 침공하기 불과 몇 시간 전 HermeticRansom 배포의 첫 징후를 확인하였습니다.

 

취약한 변종의 미끼

 

 해당 랜섬웨어 변종은 컴퓨터 웜인 HermeticWizard와 함께 배포되었으며, 금전을 갈취하기 보다 데이터 와이퍼 공격의 미끼 역할을 했습니다.

 

Crowdstrike는 해당 변종의 GO로 작성된 암호화 스키마에서 빠르게 취약점을 발견해 HermeticRansom(PartyTicket)으로 암호화된 파일을 복호화해주는 스크립트를 스크립트를 공개했습니다.

 

Crowdstrike는 지난 화요일 블로그를 통해 아래와 같이 밝혔습니다.

 

"해당 랜섬웨어 구현에 오류가 존재해 암호화가 깨지기 쉽고 속도가 느립니다. 이 취약점을 통해 악성코드 작성자가 Go를 통해 악성코드를 제작한 경험이 없거나, 테스트를 제대로 수행하지 않은 것으로 추측됩니다. 아마도 개발 시간이 촉박했을 가능성이 있습니다.”

 

HermeticRansom은 랜섬웨어 바이너리, 랜섬노트, 연락처 이메일(vote2024forjb@protonmail.com, stephanie.jones2024@protonmail.com)에 정치와 관련된 문자열 다수가 포함되어 있습니다.

 

 

<이미지 출처: https://twitter.com/BleepinComputer/status/1496915672856776705>

 

 

HermeticRansom은 다른 랜섬웨어와 같이 재정적 피해를 주고 평판을 손상시킬 수 있는 이중 갈취 수법을 사용하지 않았습니다.

 

하지만 위험은 남아있어

 

하지만, 그렇다고 HermeticRansom 랜섬웨어가 타깃 시스템에 미치는 영향이 없는 것은 아닙니다.

 

해당 변종은 ​​RSA-2048키를 통해 Program Files, Windows 폴더를 제외한 중요한 파일을 암호화할 수 있습니다.

 

피해자들이 목격한 랜섬노트는 복호화기를 얻기 위해서는 ProtonMail 주소에 연락하도록 요구하는 전형적인 내용을 담고 있었습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-hermeticransom-victims-in-ukraine/>

<HermeticRansom/PartyLocker 랜섬노트>

 

 

새로운 복호화 툴, 파일 복구해

 

Crowdstrike의 스크립트는 믿을 만하지만, 현재 상황에서 모든 사람이 사용하기는 쉽지 않습니다. 따라서 Avast HermeticRansom으로 암호화된 파일을 더 쉽게 복호화 할 수 있는 GUI 암호 해독기를 공개했습니다.

 

또한 이 툴은 암호화 프로세스에 문제가 발생할 경우 파일이 손상되는 것을 막기 위해 암호화된 파일을 백업하는 옵션을 포함합니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-hermeticransom-victims-in-ukraine/>

<Avast의 그래픽 복호화 툴>

 

복호화 툴을 사용하는 방법은 에서 찾아볼 수 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-hermeticransom-victims-in-ukraine/

https://www.crowdstrike.com/blog/how-to-decrypt-the-partyticket-ransomware-targeting-ukraine/

https://decoded.avast.io/threatresearch/help-for-ukraine-free-decryptor-for-hermeticransom-ransomware/

 

관련글 더보기

댓글 영역