Home > 전체기사
류크 랜섬웨어, 최근 업데이트 거치며 파괴력 높아져
  |  입력 : 2019-12-11 15:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대용량 파일을 복호화 하는 과정에서 푸터의 일부 삭제돼
일부 파일의 경우 푸터에 중요한 정보 저장되어 있어 큰 문제


[보안뉴스 문가용 기자] 악명 높은 류크(Ryuk) 랜섬웨어가 최근 업데이트 됐다. 그러면서 파괴력이 한층 높아졌다고 보안 업체 엠시소프트(Emsisoft)가 발표했다.

[이미지 = iclickcart]


류크 랜섬웨어는 작년에 처음 발견되었으며, 공공 부문과 민간 부문 모두에서 활개를 치기 시작했다. RSA와 AES라는 암호화 알고리즘을 조합하거나 번갈아 사용하면서 데이터를 암호화 하며, 운영자들은 이미 수천만 달러에 이르는 수익을 거둔 것으로 알려져 있다.

류크의 운영자들은 그 동안 계속해서 류크를 업그레이드 시켜 왔다. 금전적으로 적지 않은 성공을 거뒀지만, 쉬지 않는 모습을 보여준 것이다. 작년 한 해 동안만 하더라도 꽤나 많은 기능이 추가됐고, 이 중에는 파일을 일부분만 암호화 하는 기능도 포함되어 있었다.

파일을 일부만 암호화 할 때의 장점은, 류크가 시스템 내 파일을 암호화 하다가 54.4 메가바이트가 넘는 파일에 맞닥트렸을 때 나타난다. 수십 기가 바이트씩 하는 파일을 암호화 하는 데 시간을 할애하지 않아도 암호화를 빨리 진행할 수 있기 때문이다. 시간이 절약되면 될수록 공격 효율은 높아지고 탐지율은 낮아진다.

이렇게 부분적으로만 암호화 된 파일은 100만 바이트 단위로 구성된 블록들이 어느 정도나 암호화 됐는지 확실히 보여주기도 한다. 물론 완전히 암호화 된 파일의 경우는 이러한 ‘카운터’가 존재하지 않는다. 이 ‘카운터’는 파일 암호화와 관련한 계산에 도움이 된다고 한다.

그런데 류크 최신 버전에서는 이 부분이 조금 바뀌었다고 엠시소프트는 설명한다. “먼저는 푸터(footer)의 길이가 계산되고, 그 결과를 가지고 복호화 장치가 파일의 크기를 줄입니다. 이 때문에 복호화 과정 중에 1 바이트를 추가로 잘라내는 결과를 낳게 됩니다.”

이게 무슨 뜻일까? “파일 유형에 따라 다르지만 꽤나 큰 문제가 될 수 있습니다. VHD, VHDX와 같은 특히 가상 디스크 유형의 파일이나 데이터베이스 파일들은 그 마지막 부분에 꽤나 중요한 정보를 저장하거든요. 그렇다면 범인에게 돈을 내고 복호화를 한다고 하더라도 온전한 복구가 이뤄지지 않을 가능성이 있다는 뜻입니다.”

따라서 이번 업데이트 소식은 류크에 당한 피해자들에게 중요하게 작용해야 할 것이라고 엠시소프트는 설명한다. “업데이트가 된 류크가 돌아다닌 건 약 2주 정도 되는 것 같습니다. 따라서 지난 2주 동안 류크에 당한 것으로 의심되는 분들은 복구가 완벽히 되지 않을 수 있다는 걸 염두에 두어야 할 것입니다.”

엠시소프트는 류크에 대한 복구 도구가 있다며, 류크에 당한 피해자들이 신고만 해준다면 충분히 도울 수 있다고 설명했다. “하지만 류크는 복호화 과정 중에 실제 파일들을 삭제하는 경향이 있습니다. 따라서 암호화 된 데이터에 대한 백업을 가지고 있어야만 합니다. 안 그러면 복호화 중에 데이터가 삭제됩니다.”

돈을 미리 내고 복호화 도구를 범인으로부터 받은 사람은 어떨까? “마찬가지입니다. 실행하기 전에 먼저 암호화 된 파일들을 복사부터 해놓으세요. 아니면 저희에게 연락하시면, 도와드릴 수 있습니다. 특히 해당 복호화 도구가 어떠한 파괴적 결과 없이 복호화에 성공할 것인지 검토해드릴 수 있습니다.”

따라서 이번 업데이트가 범인들의 수익이라는 측면에서 현명한 것으로 보이지 않는다. 다만 피해는 더욱 심해질 수 있다.

3줄 요약
1. 류크 랜섬웨어, 최근 업그레이드 되면서 파괴력 높아짐.
2. 파일의 복구가 제대로 되지 않는 것이 문제인데, 이러면 돈 낼 이유가 없어짐.
3. 파괴력 높아져 피해는 심해지고, 복구력 떨어져 공격자들의 수익은 낮아지고.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)