본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
워너크라이(WannaCry) 소스코드 內 결함에 의하여 파일 복구가능2017.06.08
개요
  • 워너크립트(WannaCrypt)* 랜섬웨어 內 프로그래밍 코드에러에 의한 파일 복호가능
    * 워너크라이 랜섬웨어의 또다른 명칭
     
 

주요내용

 

  • 카스퍼스키 연구소(Kaspersky Lab)의 보안 연구원은 워너크립트 소스코드 內 결함을 발견하여 파일 복호화 비용의 지불없이 암호화된 파일들을 복호화 가능한 것을 발견함
    - 선임 악성코드 분석가 안톤 이바노브는 워너크라이 악성코드 개발자가 실수한 3개의 치명적인 오류를 발견함
    - 워너크라이 랜섬웨어는 주요 파일들의 확장자를 “.WNCRYPT”로 변경하고 파일을 암호화 후, 원본파일을 삭제함
  1. ‘읽기전용(Read-Only)‘ 파일은 악성 소프트웨어라고 할지라도 수정이나, 암호화가 불가능한 특징 때문에, 워너크라이 랜섬웨어는 사용자들을 속이기 위해 해당 파일들을 숨김 속성으로 변경함
    - 이러한 결점 때문에 랜섬웨어 피해자는 숨김파일 들을 보통(normal) 속성으로 복원함으로써 원본파일 복구가 가능
    - 특정 상황에 따라, 워너크라이 랜섬웨어는 파일 암호화 후 원본파일 삭제하지 않음
  • 암호화되지 않은 원본 파일들은 임시파일 경로(%TEMP%\[랜덤한숫자].WNCRYPT)에 확장자를 ‘.WNCRYPT’로 바꾸어 저장됨
    - 워너크라이 랜섬웨어는 비시스템 드라이브(D:\ 또는 E:\)에 숨김속성으로 휴지통 폴더를 생성하고, 파일 암호화 후 원본 파일들을 이동시킴
    - 임시파일 경로 및 비시스템 드라이브에 휴지통 폴더로부터 원본파일 복구 가능
    - 카스퍼스키 연구소가 제공하는 무료 데이터 복구 도구를 사용하여 원본파일 복구 가능
 

시사점

 

  1. 일부 백신사는 워너크라이 랜섬웨어의 예방수칙으로 주요 파일들을 읽기속성(Read-Only)로 바꾼 후 보관할 것을 권고하고 있으나, 이를 우회한 속성변경 후 파일암호화가 가능하므로 원본파일들에 대한 주기적인 백업 필요
  2. 국내 워너크라이 랜섬웨어 피해가 초기보다 완화되는 상태이나, 지속적인 주의가 필요하며, 감염자 피해 발생시 무료 복호화 도구 배포 및 보안조치 안내 필요
     
     



[출처]
1. The Hacker News “WannaCry Coding Mistakes Can Help Files Recovery Even After Infection”, 2017.6.2.
2. http://thehackernews.com/2017/06/wannacry-ransomware-unlock-files.html




작성 : 침해사고대응단 종합대응팀
키워드 랜섬웨어 , 복구 , 복호화 , 워너크라이