포스팅 내용

국내외 보안동향

PETYA 랜섬웨어 언락(Unlocked)! 파일 해독에 필요한 패스워드 생성 가능해진다

PETYA 랜섬웨어 언락(Unlocked)! 파일 해독에 필요한 패스워드 생성 가능해진다

PETYA Ransomware Unlocked, You Can Now Recover Password Needed for Decryption


PETYA 랜섬웨어에 감염된 사용자들에게 좋은 소식입니다. 두 명의 보안 연구원들이 PETYA 랜섬웨어로부터 암호화된 파일을 해독하는데 필요한 패스워드를 생성하는 온라인 서비스 및 데스크탑 툴을 제작 및 공개했습니다.


트위터에서 Leo Stone이란 필명으로 활동하는, 신원을 공개하지 않기를 바라는 이 연구원은 유전 알고리즘(genetic algorithm)을 통해 이 랜섬웨어를 해킹하는 방법을 발견해냈습니다. 또한 피해자들이 복호화 패스워드를 얻을 수 있는 웹사이트도 제작했습니다.


복호화 패스워드 제공 웹사이트


문제는 PETYA를 해킹하기 위해 사용자들의 하드 드라이브에서 일부 정보룰 추출해 내야하는데, 이는 전문가들에게도 매우 어려운 일입니다. 이에 Emsisoft의 Fabian Wosar가 여기에 사용할 수 있는 툴을 제작하여 공개했습니다.


PETYA Sector Extractor 툴 다운로드


랜섬웨어에 감염된 사용자가 처음으로 해야할 일은 

1. 감염된 하드 드라이브를 다른 컴퓨터에 장착하는 것입니다. 또한 Wosar의 툴을 사용할 수 있는, 정상적으로 동작하는 PC가 필요합니다. 이 프로그램은 하드 드라이브를 스캔하여, 랜섬웨어 PETYA 감염을 찾아내 크래킹에 필요한 정보를 자동으로 추출합니다.


2. 다음으로 PETYA Sector Extractor 툴이 PETYA에 감염된 하드 드라이브를 발견하면, 'Copy Sector' 버튼을 누릅니다. 이제 하드 드라이브의 특정 섹션이 클립 보드에 복사될 것입니다. 이후 Leo Stone의 웹사이트로 이동해 CTRL + V를 눌러 'Base64 encoded 512 bytes verification data'라고 적힌 큰 텍스트 박스에 붙여 넣어야 합니다.


3. 이후 Wosar의 PETYA Sector Extractor로 다시 돌아와 두 번째 버튼인 'Copy Nonce'를 클릭합니다. 그리고 웹사이트로 돌아와서 아래에 있는 'Base64 encoded 8 bytes nonce'라고 적힌 작은 텍스트 박스에 이를 붙여 넣습니다.


4. 정확한 데이터가 입력되었다면 'Submit'버튼을 누르고 알고리즘이 일을 마치기를 기다립니다.


5. 이를 이용해 복호화 패스워드를 받았다면, PETYA에 감염된 하드 드라이브를 원래의 컴퓨터로 옮긴 다음 PC를 부팅시킵니다. 랜섬 스크린이 뜨면 그냥 패스워드를 입력하면 됩니다.


이후 하드 드라이브의 MBR도 잠금이 풀리며 데이터는 복호화되고, 다시 컴퓨터를 정상적으로 사용할 수 있게 될 것입니다.




출처 :

http://news.softpedia.com/news/petya-ransomware-unlocked-you-can-now-recover-password-needed-for-decryption-502798.shtml

http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

티스토리 방명록 작성
name password homepage