타나토스, 독특하게 비트코인 외 다른 암호화폐로 돈 요구
공격자들도 암호화 키 잃어버려...브루트포스로 복구 가능

[보안뉴스 문가용 기자] 시스코의 탈로스(Talos) 팀에서 이번 주 무료 복호화 툴을 공개했다. 타나토스(Thanatos)라는 랜섬웨어에 당한 사람들의 파일을 복구시켜주는 것이라고 한다. 탈로스는 분석을 통해 현재 타나토스의 다양한 버전들이 돌아다니고 있다는 것을 발견하고, 현재 가장 활발한 연구와 개발이 진행되고 있는 위협이라고 판단해 복구 툴을 개발 및 배포했다고 한다.


기존 랜섬웨어의 경우 범인들이 비트코인으로 돈을 내라고 요구하는 반면 타나토스는 비트코인 캐시(BCH), 지캐시(ZEC), 혹은 이더리움(ETH)을 피해자들에게 요구한다. 뿐만 아니라 암호화 과정에서도 문제가 있는데, 이 때문에 공격자들은 복호화된 데이터를 피해자들에게 되돌려줄 수 없게 된다. 즉 돈을 내더라도 파일을 복구시켜주지 않는다는 것이다. 탈로스는 “이것이 공격자의 의도일 가능성도 있다”고 분석한다.

타나토스에는 여러 가지 버전이 있다고 했는데, 각 버전마다 협박 편지에서 차이를 보인다. 하지만 피해자에게 파일들이 암호화 되었다는 것을 고지하고, 돈을 특정 지갑으로 보내라고 요구하는 것은 똑같다. 가장 최신 버전으로 보이는 타나토스는 다양한 암호화폐를 지원하기 시작했다.

다양한 버전들을 분석하면서 탈로스 팀은 최소한 한 경우 공격자가 “복호화는 불가능하다”고 피해자에게 미리 알린 것을 발견했다. 이는 일부 타나토스 공격자들이 돈을 벌기 위해 공격을 펼치는 게 아니라는 뜻이 된다. “그냥 파괴 그 자체만이 공격의 목표입니다.” 그래서 어쩌면 복호화 기능을 가지고 있지 않은 것이 의도적일 수도 있다고 분석하는 것이다.

타나토스는 한 번 실행되면 %APPDATA%/Roaming이라는 디렉토리에 스스로를 복제한다. 또한 데스크톱, 문서, 다운로드, 즐겨찾기, 음악, 원드라이브, 사진, 동영상 폴더들을 스캔해 암호화시킬 파일들을 찾아내 암호화를 시작한다. “그런데 사용자들의 파일을 암호화하고 .THANATOS 확장자를 붙인 이후, 암호화 키를 지우더군요. 그러니 복호화를 못 시키는 겁니다.”

탈로스는 이 암호화 키가 지워지기 전에 분석했다. “암호화 키는 시스템이 마지막으로 부팅된 시간부터 밀리세컨드 단위로 측정한 숫자에 기반을 두고 있습니다. 또한 32비트이면서 최고 49.7일치 밀리세컨드를 저장할 수 있더군요. 하지만 49.7일 연속으로 가동하는 시스템이 얼마나 있습니까? 이게 무슨 뜻이냐면, 키 값을 브루트포싱 공격으로 알아내는 게 시간 상 저렴하다는 것입니다.”

또한 시스템의 가동시간은 윈도우 이벤트 로그에 매일 기록되는 것이 일반적이다. “그러므로 키 값을 브루트포싱으로 알아내는 게 한결 더 쉬워집니다. 저희가 계산해보니 브루트포싱 공격으로 암호화 키를 알아내는 데 걸리는 시간은 대략 14분이었습니다.”

탈로스가 새롭게 발표한 복호화 유틸리티는 타나토스 버전 1과 1.1에 잘 통한다. “뿐만 아니라 저희가 확보한 샘플 모두에서 작동하는 것을 확인할 수 있었습니다. 타나토스에 걸렸다면 저희가 배포하는 툴을 사용해보시면 해결될 확률이 높습니다.”

현재 단계에서 탈로스가 만든 툴이 복호화할 수 있는 파일은 .gif, .tif, .tiff, .jpg, .jpeg, .png, .mpg, .mpeg, .mp4, .avi, .wav, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .odt, .ods, .odp, .rtf,.zip, .7z, .vmdk, .psd, .lnk다. 툴의 다운로드 링크는 이것(https://github.com/Cisco-Talos/ThanatosDecryptor)이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>