CRYPTONITE 랜섬웨어가 파일을 복구할 수 없게 만드는 이슈
2023. 1. 5. 18:35
한때 GitHub에서 사용할 수 있었지만 지금은 제거된 Cryptonite라는 오픈소스 랜섬웨어가 있었습니다. 이 랜섬웨어는 대부분의 다른 랜섬웨어와 비슷한 동작을 하지만 이후 버전에서는 오작동이 발생하고 암호화된 데이터를 복구할 수 없는 것으로 나타났습니다.
감염주기:
랜섬웨어 설치 프로그램은 가짜 Windows 업데이트로 도착하여 다음 이름을 사용할 수 있습니다.
- WindowsUpdate.exe
이 랜섬웨어는 Python으로 작성되었으므로 성공적으로 실행하려면 Python 인터프린터가 피해자의 PC에 있어야 합니다. 따라서, 실행 시 필요한 모든 파일과 모듈은 임의로 명명된 폴더 아래의 임시 디렉토리에 놓이게 됩니다.
그다음 소프트웨어 업데이트 다운로드 예정 상태를 보여주는 창이 팝업 되고, 진행 표시줄이 표시됩니다.
한편, 파일의 암호화는 백그라운드에서 행해지고 있습니다. 암호화된 파일에는 파일 확장자 “.cryotn8”이 추가됩니다.
이 랜섬웨어는 Python 암호화 모듈을 사용하며, 보다 구체적으로는 Fernet 구현을 사용하여 암호화를 수행합니다.
이 Fernet 구현을 사용하여 생성된 이 고유 키는 이 도메인에서 호스트 되는 리모트서버(hxxps://e4c0660414 bf.eu.ngrok.io)로 전송되는 것으로 나타났습니다.
그러나 이후 샘플은 전체 감염 주기를 완료하지 못하는 것으로 밝혀졌습니다. 암호화 중에 랜섬웨어 애플리케이션이 갑자기 오류와 함께 충돌하였으며, 암호화는 완료되었지만 해당 키는 파일을 복구할 수 없는 상태로 원격서버로 전송되지 않았습니다. 랜섬웨어의 후속 실행은 이미 암호화된 파일을 암호화하기만 하므로 랜섬웨어는 기본적으로 피해자의 시스템에서 데이터를 삭제합니다.
랜섬웨어 감염 방지를 위해 사용자는 발신인이 부정확한 메일 확인을 지양하고, 의심스러운 첨부파일은 바로 삭제하여 데이터를 보호해야 합니다.