해외 보안기업, BlueCrab 랜섬웨어 복구 툴 공개

해외 보안기업 BitDefender에서 BlueCrab 랜섬웨어 (Sodinokibi, REVil) 복호화 툴을 공개하였다.

*국내 유포 샘플의 경우 추가 작업을 선행해야 정상적으로 복호화가 가능하다. 랜섬노트 파일명 형식을 원본 BlueCrab 랜섬웨어와 동일하게 변경해야 하는데 자세한 방법 및 예시는 본문 하단 [그림 5]와 같다.

그림1. 랜섬웨어 복구 툴 배포 페이지

URL: https://www.bitdefender.com/blog/labs/bitdefender-offers-free-universal-decryptor-for-revil-sodinokibi-ransomware/

해당 기업에 따르면 법 집행기관의 협조 하에 해당 도구를 제작하였으며 2021년 7월 13일 이전에 이루어진 공격에 대해 복호화가 가능하다고 설명하고 있다. 현재 BlueCrab 랜섬웨어의 랜섬 페이지가 정상적으로 동작하고 있지 않기 때문에 사용자는 암호화된 파일을 복호화할 방법이 없으며, 해당 툴을 사용하여 복호화가 가능하다.

ASEC 분석팀에서 확인 결과, 국내 사용자를 타겟으로한 유포 사례에서도 파일 복호화가 가능하였다. 다만 국내 유포에서는 백신 진단 우회를 위해 다수의 변형이 있었기에 간단한 작업을 선행해야 복호화가 가능하다.

BlueCrab 랜섬웨어에 감염되면 다음과 같이 파란색을 띄는 패턴과 랜섬노트 확인을 유도하는 메시지가 존재하는 이미지로 배경화면을 변경한다. 또한 암호화된 파일명의 형식은 “[원본 파일명] + .[랜덤문자열]” 의 형식을 지니며 암호화 대상이 존재하는 폴더마다 랜섬 노트 파일을 생성한다.

그림2. BlueCrab 랜섬웨어 감염 후 변경된 바탕화면 예시
그림3. BlueCrab 랜섬웨어 감염 파일 예시

국내에서는 주로 파일 다운로드를 위장한 악성 사이트에서 JS 파일을 통해 유포되었으며, 해외 사례와 마찬가지로 2021년 7월 13일 부터 유포가 중단되었다. 감염 과정에 대한 자세한 내용은 다음 ASEC 리포트 또는 블로그 포스팅을 참고하길 바란다.

BitDefender에서 공개한 툴은 복호화 대상 경로를 지정하면 해당 경로상에 존재하는 랜섬노트를 탐색한 후 파일 내부 정보를 사용하여 복호화를 시도한다.

하지만 국내에서 유포된 JS 파일로 감염되는 BlueCrab 랜섬웨어의 경우 진단 우회를 위해 랜섬노트의 형식을 변형하였기 때문에 랜섬노트를 찾을 수 없다는 오류가 발생한다.

그림4. 복구 실패 화면

정상적인 사용을 위해서는 랜섬노트의 파일명 형식을 다음과 같이 변형해주어야 한다.

그림5. 랜섬노트 파일명 변경 예시

기존: [랜덤문자열]+readme.txt
변경: [랜덤문자열]-readme.txt

랜섬노트 파일명 변경 이후 해당 복호화 툴 실행 시 다음과 같이 정상적으로 파일 복구(복호화)가 가능하다.

그림6. 복구 성공 화면
그림7. 복구된 파일 예시

[참조]

Categories:악성코드 정보

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments