상세 컨텐츠
본문
Free decryptor released for Yanluowang ransomware victims
Kaspersky가 Yanluowang 랜섬웨어의 암호화 알고리즘에서 취약점을 발견해 암호화된 파일을 복구할 수 있다고 밝혔습니다.
회사는 RannohDecryptor 유틸리티에 Yanluowang 랜섬웨어 변종에 암호화된 파일 해독 기능을 추가했습니다.
"전문가들이 랜섬웨어를 분석한 결과, 알려진 평문 공격을 통해 피해자의 파일을 복호화할 수 있는 취약점을 발견했습니다.”
이 랜섬웨어 변종은 3GB보다 큰 파일과 3GB보다 작은 파일을 각각 다른 방식으로 암호화합니다. 큰 파일은 매 200MB마다 5MB만큼 부분적으로 암호화하고, 작은 파일은 처음부터 끝까지 완전히 암호화합니다.
이 때문에 "원본 파일이 3GB보다 클 경우 감염된 시스템의 크고 작은 파일을 모두 복호화할 수 있습니다. 하지만 원본 파일이 3GB보다 작을 경우 작은 파일만 복호화가 가능합니다.”
파일을 복호화하려면 아래 원본 파일 중 적어도 하나가 필요합니다.
작은 파일(3GB 이하)을 복호화하려면 크기가 1024바이트 이상인 파일 한 쌍이 필요합니다. 이로써 다른 작은 파일 모두를 복호화하기에 충분합니다.
큰 파일(3GB 이상)을 복호화하려면 크기가 3GB 이상인 파일 쌍(암호화 및 원본)이 필요합니다. 이로써 다른 크고 작은 파일을 모두 복호화할 수 있습니다.
Yanluowang 랜섬웨어로 암호화된 파일을 복호화 하려면 Kaspersky의 서버 Rannoh 복호화 툴을 받아 사용하면 됩니다.
<Kaspersky의 RannohDecryptor>
Yanluowang, 유명 기업에 타깃 공격 실행
2021년 10월 처음으로 발견된 Yanluowang 랜섬웨어는 기업을 노린 고도의 타깃 공격에 사용되었습니다.
한 달 후, 계열사 중 하나가 BazarLoader 악성코드를 정찰에 사용해 최소한 8월부터 미국의 금융 부문 조직을 공격하는 것이 발견되었습니다.
공격에 사용된 TTP로 미루어볼 때, 이 Yanluowang의 계열사는 Fivehands 그룹(UNC2447로도 알려짐)에서 개발한 Thieflock 랜섬웨어와 관련이 있었습니다.
Yanluowang은 해킹된 네트워크에 배포될 경우 하이퍼바이저 가상 머신을 중지하고 모든 프로세스를 종료하며 파일을 암호화 후 .yanluowang 확장자를 추가합니다.
또한 피해자에게 법 집행 기관에 연락하거나 랜섬웨어 협상 회사에 도움을 청하지 말 것을 경고하는 랜섬노트인 README.txt를 드롭합니다.
요청을 들어주지 않을 경우 랜섬웨어 운영자는 피해자의 네트워크에 DDoS 공격을 실행하고, 직원과 비즈니스 파트너에게 해킹 사실을 알리겠다고 위협합니다.
또한 그들은 "몇 주 내에" 피해자의 네트워크에 다시 침투해 데이터를 삭제할 것이라 말합니다. 이는 랜섬웨어 그룹이 피해자가 랜섬머니를 지불하도록 협박하기 위해 사용하는 흔한 전략입니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 새롭게 발견된 제로클릭 아이폰 익스플로잇, NSO 스파이웨어 공격에 사용돼 (0) | 2022.04.19 |
|---|---|
| 새로운 SolarMarker 악성코드, 탐지를 피하기 위해 기술 업데이트해 (0) | 2022.04.19 |
| RPC(Remote Procedure Call) Runtime 원격코드실행 취약점(CVE-2022-26809) 주의! (0) | 2022.04.18 |
| GitHub, 해커가 훔친 OAuth 접근 토큰을 통해 조직 수십 곳 해킹했다고 밝혀 (0) | 2022.04.18 |
| Microsoft Office 2013, 2023년 4월 지원 종료 예정 (0) | 2022.04.18 |
댓글 영역