상세 컨텐츠

본문 제목

Yanluowang 랜섬웨어용 무료 복호화 툴 공개돼

국내외 보안동향

by 알약4 2022. 4. 19. 09:00

본문

Free decryptor released for Yanluowang ransomware victims

 

KasperskyYanluowang 랜섬웨어의 암호화 알고리즘에서 취약점을 발견해 암호화된 파일을 복구할 수 있다고 밝혔습니다.

 

회사는 RannohDecryptor 유틸리티에 Yanluowang 랜섬웨어 변종에 암호화된 파일 해독 기능을 추가했습니다.

 

"전문가들이 랜섬웨어를 분석한 결과, 알려진 평문 공격을 통해 피해자의 파일을 복호화할 수 있는 취약점을 발견했습니다.”

 

이 랜섬웨어 변종은 3GB보다 큰 파일과 3GB보다 작은 파일을 각각 다른 방식으로 암호화합니다. 큰 파일은 매 200MB마다 5MB만큼 부분적으로 암호화하고, 작은 파일은 처음부터 끝까지 완전히 암호화합니다.

 

이 때문에 "원본 파일이 3GB보다 클 경우 감염된 시스템의 크고 작은 파일을 모두 복호화할 수 있습니다. 하지만 원본 파일이 3GB보다 작을 경우 작은 파일만 복호화가 가능합니다.”

 

파일을 복호화하려면 아래 원본 파일 중 적어도 하나가 필요합니다.

 

작은 파일(3GB 이하)을 복호화하려면 크기가 1024바이트 이상인 파일 한 쌍이 필요합니다. 이로써 다른 작은 파일 모두를 복호화하기에 충분합니다.

큰 파일(3GB 이상)을 복호화하려면 크기가 3GB 이상인 파일 쌍(암호화 및 원본)이 필요합니다. 이로써 다른 크고 작은 파일을 모두 복호화할 수 있습니다.

 

Yanluowang 랜섬웨어로 암호화된 파일을 복호화 하려면 Kaspersky의 서버 Rannoh 을 받아 사용하면 됩니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-yanluowang-ransomware-victims/>

<KasperskyRannohDecryptor>

 

 

Yanluowang, 유명 기업에 타깃 공격 실행

 

2021 10월 처음으로 발견된 Yanluowang 랜섬웨어는 기업을 노린 고도의 타깃 공격에 사용되었습니다.

 

한 달 후, 계열사 중 하나가 BazarLoader 악성코드를 정찰에 사용해 최소한 8월부터 미국의 금융 부문 조직을 공격하는 것이 발견되었습니다.

 

공격에 사용된 TTP로 미루어볼 때, Yanluowang의 계열사는 Fivehands 그룹(UNC2447로도 알려짐)에서 개발한 Thieflock 랜섬웨어와 관련이 있었습니다.

 

Yanluowang은 해킹된 네트워크에 배포될 경우 하이퍼바이저 가상 머신을 중지하고 모든 프로세스를 종료하며 파일을 암호화 후 .yanluowang 확장자를 추가합니다.

 

또한 피해자에게 법 집행 기관에 연락하거나 랜섬웨어 협상 회사에 도움을 청하지 말 것을 경고하는 랜섬노트인 README.txt를 드롭합니다.

 

요청을 들어주지 않을 경우 랜섬웨어 운영자는 피해자의 네트워크에 DDoS 공격을 실행하고, 직원과 비즈니스 파트너에게 해킹 사실을 알리겠다고 위협합니다.

 

또한 그들은 "몇 주 내에" 피해자의 네트워크에 다시 침투해 데이터를 삭제할 것이라 말합니다. 이는 랜섬웨어 그룹이 피해자가 랜섬머니를 지불하도록 협박하기 위해 사용하는 흔한 전략입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-yanluowang-ransomware-victims/

https://support.kaspersky.com/8547

관련글 더보기

댓글 영역