CryptoLocker, TorrentLocker, CryptoFortress 등의 랜섬웨어(Ransomware) 악성코드는 PC에 저장된 파일을 풀 수 없는 암호화 알고리즘을 이용하여 암호화(Encryption)한 후 일정 기간 안에 금전을 지불하지 않을 경우 영원히 복호화(Decryption) 키를 삭제하는 사이버 범죄 행위입니다.
이에 따라 작년(2014년)에는 CryptoLocker 랜섬웨어(Ransomware)의 C&C 서버에서 확보한 Private RSA Key를 이용하여 암호화된 파일을 풀어주는 복구 서비스를 공개한 적도 있었습니다.
또한 안랩(AhnLab)에서는 Win32/Nabucur (AhnLab V3 기준) 진단명으로 진단되는 랜섬웨어(Ransomware)에 의해 암호화된 파일을 복구 가능하다는 내용을 공개한 상태입니다.
위와 같이 일부 랜섬웨어(Ransomware)의 복호화에 사용되는 Key 파일을 확보하거나 기술적 방법으로 암호화된 파일을 금전적 지불없이 풀 수 있는 방법이 제한적으로 존재한 상태에서, 최근 Kaspersky 보안 업체에서는 2014년 하반기경부터 발견되고 있는 TorLocker 랜섬웨어(Ransomware)에 의해 암호화된 파일의 상당수를 복호화할 수 있는 방법을 공개하였습니다.
TorLocker (일명 KRSWLocker) 랜섬웨어(Ransomware)는 일본(Japan) 및 영어권 사용자를 표적으로 제작된 악성코드로 감염시 3일 이내에 비트코인(Bitcoin), UKash, PaySafeCard 가상 화폐를 지불 수단으로 $300 이상을 요구하고 있습니다.
보편적인 감염 방식은 보안 패치가 이루어지지 않은 PC 환경에서 악의적으로 조작된 웹 사이트 접속시 취약점(Exploit)을 이용한 자동 감염 또는 가짜 Adobe Flash Player 웹 사이트를 통한 설치 파일을 다운로드하여 실행할 경우 감염을 유발하는 방식으로 전파되고 있습니다.
감염 단계를 살펴보면 악성 파일을 임시 폴더(%Temp%)에 복사한 후 시작 프로그램(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) 영역에 자신을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
이후 taskmgr.exe, regedit.exe, procexp.exe, procexp64.exe 프로세스를 체크하여 강제 종료 및 시스템 복원 기능을 비활성화 처리합니다.
실행된 악성코드는 Windows 및 임시 폴더를 제외한 폴더에 존재하는 문서, 비디오, 오디오, 이미지, 압축, 데이타베이스, 백업, 가상 머신, 인증서, 네트워크 드라이브 등에 대한 파일(※ 확장자명 기준 : 119종)에 대하여 256비트 AES 암호화 방식으로 암호화 처리하여 파일을 열 수 없도록 합니다.
암호화 처리가 완료된 후에는 BMP 그림 파일을 추출하여 임시 폴더에 생성한 후 바탕 화면의 그림을 붉은색의 TorLocker 화면으로 변경하여 경고 및 특정 Tor 링크(.onion)를 통한 파일을 다운로드하도록 안내합니다.
다운로드된 파일을 실행할 경우 C&C 서버와 통신을 위한 tor.exe (Tor Browser Bundle) 파일과 polipo.exe (Proxy 네트워크 구성) 파일을 통해 정보를 전송합니다.
이를 통해 생성된 창을 통해 정해진 기간(3일) 내에 요구하는 금전을 지불하지 않을 경우 복호화에 필요한 RSA-2048 공개키를 삭제한다고 협박이 이루어지게 됩니다.
하지만 Kaspersky 보안 업체의 분석에 따르면 실제로는 Private Key는 개인별로 생성되지 않고 다른 감염자와 동일한 키로 구성되어 있으므로 삭제하지 않으며, "AES-256 + RSA-2048" 방식의 암호화 알고리즘 실행 과정에서 버그(Bug)를 통해 돈을 지불하지 않고 암호화된 파일 중 70% 이상을 복구할 수 있는 방법을 찾아내었다고 합니다.
이에 따라 Kaspersky 보안 업체에서는 Trojan-Ransom.Win32.Scraper (Kaspersky 기준) 진단명의 랜섬웨어(Ransomware)가 발견될 경우 ScraperDecryptor 복구툴을 이용하여 파일을 복호화할 수 있도록 지원하고 있습니다.
우선 ScraperDecryptor 복구툴(ScraperDecryptor.zip)을 다운로드한 후 압축 해제하여 ScraperDecryptor.exe 파일을 관리자 권한으로 실행하시기 바랍니다.
실행된 Kaspersky ScraperDecryptor 창의 "Change parameters" 메뉴를 실행하여 다음과 같은 환경 설정을 하시기 바랍니다.
설정창에서는 검사를 진행할 개체 중 네트워크 드라이브가 존재할 경우 반드시 체크하시기 바라며, 추가 옵션에서 복호화 후 암호화된 파일의 삭제를 원할 경우 체크하시고 검사를 진행하시기 바랍니다.
또한 검사시에는 사용자 PC에서 암호화되어 열 수 없는 파일을 찾아 지정하여 검사를 진행하시기 바랍니다.
Kaspersky 보안 업체에서 제공하는 TorLocker 랜섬웨어(Ransomware) 악성코드에 감염되어 암호화된 파일 중 70% 이상을 ScraperDecryptor 복구툴을 통해 암호를 해제할 수 있지만 더 중요한 것은 중요 자료는 반드시 PC와 연결되어 있지 않은 저장 장치에 주기적으로 백업하여 만약의 사태에 대비하는 습관이 중요할 것입니다.
또한 차후 TorLocker 랜섬웨어(Ransomware)의 암호화 버그(Bug)가 수정될 경우 복호화가 불가능할 수 있다는 점을 명심하시고 랜섬웨어(Ransomware) 감염으로 인해 피해를 당하지 않도록 보안 업데이트 및 인터넷 상에서 파일 다운로드시 각별히 주의하시기 바랍니다.