Argos2.0 랜섬웨어 이슈

 

최근 Argos 2.0 랜섬웨어에 대한 이슈가 확인되었습니다. 대부분의 랜섬웨어는 멀웨어 형태로 피해자 PC에 침투하여 파일을 암호화하며, 파일 복구를 위해 비트코인으로 금전적 대가를 요구합니다. 하지만 Argos 2.0 랜섬웨어는 리버스 엔지니어링을 통해 쉽게 암호 해독 키를 얻을 수도 있고, 공격자에게 금전적 대가를 지불하지 않고 해독 키를 받을 수 있습니다.

 

Argos 2.0에 감염되면 ‘@argos3crupter.exe’가 생성되고 백그라운드에서 실행되는 것을 볼 수 있습니다.

 

그 후, 시스템의 파일이 암호화되며 화면에 아래와 같은 이미지가 표시됩니다.

 

 

그리고 시스템에 다음 파일들이 생성됩니다.

• C:\Ransom.png (위의 그림)
• C:\@argosd3crypter.exe

이 랜섬웨어는 C#으로 작성되어있으며, 디컴파일이 간단합니다.

 

아래에서 확인 가능하듯이 ‘discord.com’을 통해 공격자에게 감염을 보고하는 코드도 확인 가능하며,

 

핵심 암호 해독 기능을 소스에서 볼 수 있습니다.

 

하드 코딩된 암호 해독 키는 대상 디렉터리와 함께 디컴파일된 코드에서 쉽게 볼 수 있습니다.

 

사용자 화면에 출력된 이미지에 위의 소스에서 확인된 암호를 입력하면 아래와 같은 메시지가 출력되며, 암호화된 파일을 정상적인 파일로 변환할 수 있습니다.

 

또한, Discord를 통해 공격자와 컨택하여 복호화 키를 쉽게 얻을 수 있습니다.