울지않는벌새 : Security, Movie & Society

TeslaCrypt 랜섬웨어(Ransomware) 파일 복구툴 : Talos TeslaCrypt Decryptor (2015.5.25)

벌새::Software

이메일 첨부 파일 실행 또는 웹 사이트 접속시 Angler Exploit Kit, Nuclear Exploit Kit, Sweet Orange Exploit Kit을 이용한 악성 웹 사이트로 리다이렉트를 통해 Flash 취약점(CVE-2015-0311), Internet Explorer 취약점(CVE-2013-2551)이 존재할 경우 TeslaCrypt 랜섬웨어(Ransomware) 감염과 암호화된 파일을 복구할 수 있는 Talos TeslaCrypt Decryptor 복구툴에 대해 소개해 드리겠습니다.

TeslaCrypt 랜섬웨어(Ransomware)는 기존의 Cryptolocker 랜섬웨어(Ransomware) 변종으로 알려져 있으며, 감염된 시스템에 존재하는 문서, 이미지, 미디어, CAD 등 185종의 다양한 확장자를 가진 파일을 암호화하여 금전을 요구하는 악성코드입니다.

 

특히 기존 랜섬웨어(Ransomware)와는 다르게 Call of Duty, Star Craft 2, Minecraft, Half-Life 2, The Elder Scrolls, WarCraft 3, Assassin's Creed, World of Warcraft, League of Legends, World of Tanks 등의 50여종 게임 저장 파일 및 스팀(Steam) 활성화 키 파일을 암호화하여 게임 사용자를 표적으로 하고 있습니다.

 

감염된 시스템에서는 볼륨 섀도 복사본(Volume Shadow Copies) 삭제를 통해 윈도우 복원 기능을 사용할 수 없도록 하며, taskmgr.exe, procexp.exe, regedit.exe, msconfig.exe, cmd.exe 프로세스를 지속적으로 감시하여 자신을 종료하지 못하게 방해하고 있습니다.

TeslaCrypt 랜섬웨어(Ransomware)가 표시하는 "Your personal files are encrypted!" 경고창에서는 RSA-2048 비대칭 암호화 알고리즘을 사용하여 복구키가 서버에 저장되어 있다고 주장하고 있지만, 실제적으로 암호화 및 복호화를 위해 동일한 키<C:\Users\(사용자 계정)\AppData\Roaming\Key.dat>를 사용하는 AES_CBC_256 비트 암호화 알고리즘 방식 사용하기 때문에 연구를 통해 복구툴 제작이 가능하게 되었습니다.

기본적으로 생성된 경고창에 표시된 "File decryption site" 버튼을 클릭할 경우 파일 복호화를 위해 비트코인(Bitcoin), PaySafeCard, Ukash 지급 수단을 통해 지불을 할 경우 실제로는 서버에 저장되어 있지 않은 Private Key를 통해 암호화된 파일을 복구할 수 있다고 안내하고 있습니다.

 

특히 감염자가 암호화된 파일 1개를 무료로 복구할 수 있는 서비스를 지원하고 있다는 점에서 금전 지불을 유도하고 있습니다.

실제 FireEye 보안 업체에서는 TeslaCrypt 랜섬웨어(Ransomware) 운영을 통해 2~3개월 동안 $76,522 수익금을 벌었다는 분석 정보를 공개하고 있습니다.

또한 일부 TeslaCrypt 랜섬웨어(Ransomware) 변종에 따라서는 감염된 PC가 인터넷과 연결되어 있지 않거나 방화벽 차단을 통해 C&C 서버와 통신되지 않을 경우 key.dat 내부에 포함된 마스터 키를 파괴한 후 "C:\Users\(사용자 계정)\Documents\RECOVERY_KEY.TXT" 파일을 생성하여 사용자가 토르(Tor) 웹 브라우저를 이용하여 특정 Tor 웹 사이트(.onion)에 접속하여 RECOVERY_KEY.TXT 파일 업로드를 하도록 변경하는 방식도 존재합니다.

 

Talos TeslaCrypt Decryptor 복구툴(TeslaDecrypter.exe) 사용 방법

 

시스코(Cisco) 보안 연구원이 개발한 TeslaCrypt 랜섬웨어(Ransomware)로 암호화된 파일을 복구할 수 있는 Talos TeslaCrypt Decryptor 도구는 Command Line 방식으로 동작하며, 감염된 PC에서 "C:\Users\(사용자 계정)\AppData\Roaming\Key.dat" 파일이 존재해야지 복구가 가능합니다.(※ key.dat 파일과 TeslaDecrypter.exe 파일을 동일한 폴더에 위치시킨 후 실행하시기 바랍니다.)

  • /help : Show the help message <도움말 메시지 표시>
  • /key : Manually specify the master key for the decryption (32 bytes/64 digits) <수동으로 복호화를 위한 마스터 키 지정>
  • /keyfile : Specify the path of the "key.dat" file used to recover the master key. <마스터 키 복구에 사용될 key.dat 파일 경로 지정>
  • /file : Decrypt an encrypted file <암호화된 파일 복구>
  • /dir : Decrypt all the ".ecc" files in the target directory and its subdirs <타켓 디렉토리 및 하위 폴더에 존재하는 모든 .ecc 파일 복구>
  • /scanEntirePc : Decrypt ".ecc" files on the entire computer <전체 컴퓨터에 존재하는 .ecc 파일 복구>
  • /KeepOriginal : Keep the original file(s) in the encryption process <복구 과정에서 원본 파일 유지>
  • /deleteTeslaCrypt : Automatically kill and delete the TeslaCrypt dropper (if found active in the target system) <시스템에 존재할 경우 자동으로 TeslaCrypt 드랍퍼 종료 및 삭제>

TeslaCrypt 랜섬웨어(Ransomware)와 같은 일부 랜섬웨어(Ransomware)는 암호화 방식에 따라 보안 업체를 통해 암호화된 파일에 대한 복호화 도구가 제공되고 있지만, 상당수 랜섬웨어(Ransomware)는 돈을 지불하지 않는 한 파일 복구가 불가능하므로 감염되지 않도록 매우 주의해야 합니다.

 

또한 시스템 감염으로 인한 피해를 예방하기 위해서는 주기적으로 PC와 연결되지 않은 외부 저장 매체에 중요 파일에 대해서 백업(Backup)하는 습관을 가지시기 바랍니다.