Posted By ASEC , 2021년 9월 27일

해외 보안기업, BlueCrab 랜섬웨어 복구 툴 공개

해외 보안기업 BitDefender에서 BlueCrab 랜섬웨어 (Sodinokibi, REVil) 복호화 툴을 공개하였다.

*국내 유포 샘플의 경우 추가 작업을 선행해야 정상적으로 복호화가 가능하다. 랜섬노트 파일명 형식을 원본 BlueCrab 랜섬웨어와 동일하게 변경해야 하는데 자세한 방법 및 예시는 본문 하단 [그림 5]와 같다.

URL: https://www.bitdefender.com/blog/labs/bitdefender-offers-free-universal-decryptor-for-revil-sodinokibi-ransomware/

해당 기업에 따르면 법 집행기관의 협조 하에 해당 도구를 제작하였으며 2021년 7월 13일 이전에 이루어진 공격에 대해 복호화가 가능하다고 설명하고 있다. 현재 BlueCrab 랜섬웨어의 랜섬 페이지가 정상적으로 동작하고 있지 않기 때문에 사용자는 암호화된 파일을 복호화할 방법이 없으며, 해당 툴을 사용하여 복호화가 가능하다.

ASEC 분석팀에서 확인 결과, 국내 사용자를 타겟으로한 유포 사례에서도 파일 복호화가 가능하였다. 다만 국내 유포에서는 백신 진단 우회를 위해 다수의 변형이 있었기에 간단한 작업을 선행해야 복호화가 가능하다.

BlueCrab 랜섬웨어에 감염되면 다음과 같이 파란색을 띄는 패턴과 랜섬노트 확인을 유도하는 메시지가 존재하는 이미지로 배경화면을 변경한다. 또한 암호화된 파일명의 형식은 “[원본 파일명] + .[랜덤문자열]” 의 형식을 지니며 암호화 대상이 존재하는 폴더마다 랜섬 노트 파일을 생성한다.

국내에서는 주로 파일 다운로드를 위장한 악성 사이트에서 JS 파일을 통해 유포되었으며, 해외 사례와 마찬가지로 2021년 7월 13일 부터 유포가 중단되었다. 감염 과정에 대한 자세한 내용은 다음 ASEC 리포트 또는 블로그 포스팅을 참고하길 바란다.

ASEC Report | AhnLab

2021년 3분기 ASEC Report에서는 지난 2019년부터 모니터링한 JS 파일 형태로 유포되는 블루크랩(BlueCrab) 랜섬웨어의 공격 방식 및 변형 과정을 소개하였습니다. 더 나아가 카세야(Kaseya) 공격 이후 유포가 중단된 최근 상황까지, 오랜 기간에 걸쳐 추적•분석한 블루크랩 랜섬웨어의 공격 동향과 함께 이에 따른 상세한 분석 내용을 면밀히 살펴보았습니다.

지속적으로 탐지 우회를 시도 중인 BlueCrab 랜섬웨어 – ASEC BLOG

BlueCrab 랜섬웨어(=Sodinokibi Ransomware)는 국내 사용자를 대상으로 활발하게 유포되는 랜섬웨어로, 여러 검색 키워드를 활용하여 생성된 가짜 포럼 페이지를 통해 유포되는 것이 특징이다. 유포 페이지에서 다운로드 받은 JS 파일 실행 시 감염 프로세스가 시작된다. 해당 유포 페이지는 검색엔진의 검색 결과 상위에 노출되어 사용자의 접근이 쉽기 때문에 꾸준하게 많은 사용자들의 감염이 보고되는 중이다. ASEC 분석팀은 해당 랜섬웨어와 관련된 다양한 포스팅을 게시하고 있다. 새롭게 변형되어 유포 중인 JS.BlueC…

BitDefender에서 공개한 툴은 복호화 대상 경로를 지정하면 해당 경로상에 존재하는 랜섬노트를 탐색한 후 파일 내부 정보를 사용하여 복호화를 시도한다.

하지만 국내에서 유포된 JS 파일로 감염되는 BlueCrab 랜섬웨어의 경우 진단 우회를 위해 랜섬노트의 형식을 변형하였기 때문에 랜섬노트를 찾을 수 없다는 오류가 발생한다.