인도의 공격자들이 개발한 것으로 보여...기능 매우 허술해
1천개 복구 키 바이너리 내에 가지고 있어 방어 툴 개발에 성공

[보안뉴스 문가용 기자] 랜섬 워리어(Ransom Warrior)라는 랜섬웨어가 나타났지만 보안 전문가들이 복호화 툴을 개발하는 바람에 큰 영향력을 발휘하기는 힘들어 보인다.


랜섬 워리어를 제일 먼저 발견한 건 멀웨어 헌터 팀(Malware Hunter Team)이며, 양자의 최초 조우는 8월 8일에 있었다. 멀웨어 헌터 팀은 곧바로 분석에 들어갔으며, 공격자들이 인도에 있는 것으로 결론을 내렸다. 또한 개발자들이 멀웨어 제작에 많은 경험을 가지고 있지는 않은 것으로 나타났다.

그렇게 보는 이유는 몇 가지 있다. 멀웨어가 닷넷(.NET)으로 작성되었으며, 실행파일이 패킹 등의 기본적인 난독화 기술로 보호되지 않은 상태로 유포되고 있다는 것이 가장 크다. 이는 보안 업체 체크포인트(Check Point)도 8월 30일자 블로그 포스팅을 통해 확인한 바다.

“게다가 이 랜섬웨어가 사용하고 있는 암호화 알고리즘은 스트림 암호(stream cipher)의 일종입니다. 랜섬 워리어의 바이너리 코드 내에 하드코딩 된 키 1000개 중 하나가 무작위로 선택되는 방식으로 작동되죠.”

체크포인트 연구원들은 이 1천 개의 키들을 코드에서 추출해내는 데 성공했다. 그리고 키의 색인을 피해자 컴퓨터에 저장해 랜섬 워리어에 대입했다. 그랬더니 암호화에 걸려 있던 잠금장치가 모두 해제됐다고 한다.

현재 공격자들은 이 멀웨어를 A Big Present.exe라는 이름으로 퍼트리고 있다. 허술한 기능은 물론 ‘큰 선물’이라는 이름으로 미뤄볼 때, 공격자들에게는 이 랜섬웨어가 한낱 농담거리 정도인 것으로 보인다.

사용자가 이 이름의 파일을 다운로드받아 실행시키면 시스템 내 파일들이 암호화 된다. 이 파일들에는 .THBEC라는 확장자가 붙는다.

마이크로소프트 윈도우를 사용하는 사용자들이 주로 이 랜섬웨어 범죄에 당하고 있다고 한다. 복호화에 대한 안내는 체크포인트 블로그(https://research.checkpoint.com/ransom-warrior-decryption-tool/)를 통해 확인이 가능하다.

3줄 요약
1. 인도의 공격자들이 만든 것으로 보이는 랜섬웨어, 랜섬 워리어.
2. 보호 장치도 없고, 암호화 알고리즘도 허술한 랜섬웨어.
3. 피해를 입었다면 체크포인트의 블로그 통해 복호화 방법 확인 가능.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>