상세 컨텐츠

본문 제목

TrickBot의 Diavol 랜섬웨어용 무료 복호화 툴 공개돼

국내외 보안동향

by 알약4 2022. 3. 21. 09:00

본문

Free decryptor released for TrickBot gang's Diavol ransomware

 

사이버 보안 회사인 Emsisoft에서 Diavol 랜섬웨어에 피해를 입은 사용자가 돈을 지불하지 않아도 파일을 복구할 수 있도록 무료 복호화 툴을 공개했습니다.

 

Diavol 랜섬웨어의 피해자는 Emsisoft의 서버에서 무료 툴을 로드 후 사용 가이드[PDF]를 참고하여 데이터를 복호화할 수 있습니다.

 

Emsisoft는 아래와 같이 설명했습니다.

 

"복호화 툴은 암호화된 파일 하나와 원본 파일 한 쌍이 필요합니다. 이를 통해 나머지 데이터를 복호화할 수 있는 암호화 키를 재구성해냅니다.”

 

"복호화 툴은 복호화할 파일의 위치를 디폴트로 현재 연결된 드라이브 및 네트워크 드라이브로 설정합니다.”

 

이 복호화 툴은 복호화된 파일이 원본 파일과 동일하지 않은 경우 만약을 위해 공격을 통해 암호화된 파일을 유지합니다.

 

또한 암호화 키 재구성용으로 제공된 파일 쌍보다 큰 파일을 부분적으로 복구하는 "대용량 파일 부분 복호화 허용" 기능을 포함하고 있습니다. 이는 기술적인 제한으로 인해 복호화 툴이 큰 파일을 복구하지 못할 수 있기 때문에 필요합니다.

 

 

<이미지 출처 : https://www.emsisoft.com/ransomware-decryption-tools/howtos/emsisoft_howto_diavol.pdf>

 

 

대칭 알고리즘을 통해 암호화 프로세스의 속도를 크게 높이는 다른 랜섬웨어와는 달리, Diavol는 암호화에 비대칭 암호화 알고리즘과 사용자 모드 APC(비동기 프로시저 호출)를 사용합니다.

 

또한 Diavol은 패킹이나 분해 방지 장치가 없기 때문에 난독화되어있지 않지만, 비트맵 이미지에 메인 루틴을 저장함으로써 분석을 방해합니다.

 

Diavol은 암호화 프로세스를 완료하기 전 암호화된 윈도우 기기의 배경을 "모든 파일이 암호화되었습니다! 자세한 내용은 README-FOR-DECRYPT.txt에서 확인하세요."라는 메시지를 담은 검은색 이미지로 배경화면을 변경합니다.

 

Diavol 랜섬웨어가 드롭하는 랜섬노트의 이름은 README_FOR_DECRYPT.txt였지만, FBI가 지적했듯이 이는 11월부터 Warning.txt로 이름이 변경되었습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-trickbot-gangs-diavol-ransomware/>

<Diavol 랜섬노트>

 

 

 FortiGuard Labs의 보안 연구원들은 2021 6월 초 회사의 EDR 솔루션이 차단한 공격에서 해당 랜섬웨어 변종이 Conti 랜섬웨어 페이로드와 함께 다른 시스템에 배포된 것을 발견한 후 이를 TrickBot 그룹(Wizard Spider)과 관련지었습니다.

 

이후 해당 랜섬웨어 개발에 관여한 Alla Witte가 체포된 이후 FBI 또한 공식적으로 해당 그룹을 TrickBot 사이버 범죄 조직과 연결했습니다.

 

금전적 이득을 노리는 이 러시아의 사이버 범죄 그룹은 해킹된 시스템 및 네트워크에 2단계 악성코드를 드롭하는데 사용되는 Trickbot 봇넷을 운영합니다.

 

FBI 2021 10월 랜섬웨어 변종을 처음으로 발견했습니다. 이들은 1~ 50만 달러 사이를 랜섬머니로 요구했으며, 협상 후 더 낮은 금액을 수락하기도 했습니다.

 

이는 TrickBot과 관련된 Conti, Ryuk 등 다른 랜섬웨어 그룹이 막대한 금액을 요구하는 것과 차이를 보입니다. 이들은 복호화 툴을 제공하고 탈취한 데이터를 온라인에 유출하지 않는다는 조건으로 수백만 달러를 요구했습니다.

 

Diavol 랜섬웨어는 2021 6월 이후 활동을 시작했지만 왕성히 활동하지는 않았습니다. ID-Ransomware에는 수십 건이 등록된 상태입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-trickbot-gangs-diavol-ransomware/

https://www.emsisoft.com/ransomware-decryption-tools/howtos/emsisoft_howto_diavol.pdf

관련글 더보기

댓글 영역