보안 / 해킹 마이크로소프트, 랜섬웨어에 감염된 PC들을 구제하는 툴 배포
2015.10.23 00:16
마이크로소프트는 금주 화요일 (미국시간) 배포한 패치에서 랜섬웨어에 감염된 PC들을 구제하는 툴을 배포했다. TeslaCript로 불리는 랜섬웨어는 이에 감염된 PC들에 있는 개인 파일들을 볼모로 잡고 돈을 요구한다.
이미 이 위험한 랜섬웨어의 특정 버전들에 대응하는 툴들이 나왔지만, 마이크로소프트는 이에 뛰어들어 자체 구제 툴을 만들었다. ZDNet이 지적하고 있는 것처럼 올 8월 말에 매일 3500 대 이상의 PC들이 TeslaCript에 감염되었고, 그후 감염된 숫자는 급증했다가 하락했다.
TeslaCript는 올해 초 처음 포착되었고, 이는 AES 256 암호로 컴퓨터들을 꼼짝 못하게 만들고, 이를 볼모로 삼아 중요한 파일들을 언락하기 위한 키와 교환하기 위해 금전을 요구한다. 랜섬웨어는 게이머들에게 영향을 주는 특정 종류의 파일들과 재정 및 세금 소프트웨어들에 락을 걸어 놓는다.
그리고 마이크로소프트의 새로운 멀웨어 제거 프로그램에 더해, 시스코의 탈코 그룹으로부터 나온 비슷한 리소스도 있고, 무료 개인용 구제 키트도 있다. 더 자세한 정보는 아래 마이크로소프트 링크에서 얻을 수 있다.
댓글 [5]
-
메리아 2015.10.23 09:46 -
드로이얀7 (이준호) 2015.10.23 11:51
"Earlier variants stored the private key as a file on the machine itself – Cisco/Talos created the Talos TeslaCrypt Decryption Tool tool that enables affected users to decrypt their files with the locally stored private key.Recent variants, however, store the key in the registry as binary data."
이게 핵심이네요. 비밀키가 서버에 있는게 아니라 특정 파일이나 레지스트리에 숨겨놓은거라고.
-
메리아 2015.10.23 12:10 -
-
드로이얀7 (이준호) 2015.10.23 17:00
대량 감염으로 돈벌이를 목표 하는 녀석인데 일일이 서버에서 제어하면 서버 부하(=유지비)가 심하겠죠. 역추적에도 약해지테고요.
그리고 쉽니 어렵니 얘기는 조금만 생각해도 말이 안 된다는걸 알 수 있을텐데요.
저 구제툴들은 네트워크 장비의 사실상 표준인 시스코와, 그 돈많은 M$의 비싼 몸값 전문가들이 작정하고 프로젝트로 매달려서 만들어낸 툴들입니다. 개인이 심심풀이로 코딩해서 만든게 아니잖아요. 암호 자체를 강제로 깨뜨리는 것도 아니고 숨겨놓은 것도 못 찾으면...;;;;;;;;;;;;;;;;;;;;;;;;;;
다만 저 방법을 세상에 폭로한 이상, 다음 변종은 아마 마스터 암호화 방식으로 가는 등 쎄게 나오지 않을까 싶네요. (로보폼이나 라스트패스워드 같은 툴들이 저장된 패스워드를 다시 한번 암호화 하듯이, 비밀키 자체도 암호화해서 저장하는 거죠. 그것도 로컬에 저장하지 않고 봇넷에 중계서버를 심어서 거기다 공개키 암호화로 포장해서 저장해둔 다음. 그걸 풀 수 있는 비밀키를 마스터 서버에서 가지고 있는 식으로 가면 답이 없죠.)
-
드로이얀7 (이준호) 2015.10.23 17:07
일단 저런 프로그램을 구해서 리버스 엔지니어링으로 뭐하는 건지 뜯어보는건 기본이겠죠. 다른데도 아니고 시스코랑 M$에서 만든 구제툴이니깐요.
물론 더 강력한 변종이 나오면 그걸 분석해서 대응 구제툴을 내놓기까지 시간이 걸리니...(더구나 랜섬웨어 만드는 쓰레기들도 방법 폭로당한 김에 쎄게 나가서, 서버에 저장하는 방식으로 가면 서버를 직접 털어야 키가 나오니 어렵겠죠.)
역시 예방이 최선이라는건 원론적이고 뻔하게 들릴지는 몰라도 항상 가장 옳은 말이죠.
저는 딱히 저나 주변에 걸린적은 없지만, 하도 랜섬웨어 시끌시끌해서 비트디펜터 2016의 랜섬웨어 프로텍션을 켜놨더니(기본값은 꺼져있습니다) 별의 별걸 다 일단 막고 보더군요. 하다못해 파이어폭스에서 다운로드 파일을 사진 폴더에 저장하는 것도 일단 막음. 의심행동을 막는 것 뿐이라서 Allow 버튼 두번으로 쉽게 풀 수 있긴 합니다만...(처음에 알림창이 뜨고 거기서 Allow버튼을 누르면 어떤 프로세스를 왜 막았는지 보여주는 창이 뜨고, 거기서 다시 Allow버튼 누르면 허용됩니다. 그리고 한번 허락한 행동은 이후로는 안 막네요.)
-