2024-03-28 19:00 (목)
CryptoJoker 랜섬웨어 변종 CryptoNar, 무료 해독기 바로 공개돼
상태바
CryptoJoker 랜섬웨어 변종 CryptoNar, 무료 해독기 바로 공개돼
  • 길민권 기자
  • 승인 2018.09.03 17:34
이 기사를 공유합니다

cc.jpg
이번주에 사용자들을 감염시킨 CryptoJoker 랜섬웨어의 새로운 변종인 CryptoNar가 발견 되었지만 무료 해독기가 신속히 공개되어 피해자들이 무료로 파일을 되찾을 수 있게 되었다.

이 랜섬웨어는 연구원인 MalwareHunterTeam이 발견했다. 이 랜섬웨어는 유포된지 얼마되지 않았지만 100명 가량의 피해자를 발생시킨 것으로 조사됐다.

한편 해외 보안연구원이 피해자들이 무료로 파일을 되찾을 수 있도록 무료 해독기를 신속히 개발해 더 큰 피해는 발생하지 않았다.

CryptoNar 랜섬웨어가 피해자의 파일을 암호화할 때, 이는 암호화 되는 파일의 유형에 따라 암호화법을 달리한다.

타깃 파일이 .txt나 .md일 경우 전체 파일을 암호화 하고 파일명에 .fully.cryptoNar 확장자를 붙인다. 다른 파일들은 첫 1024 바이트만 암호화 후 .partially.cryptoNar확장자를 붙인다.

파일 암호화가 완료 되면 이는 공격자에게 공개/개인 키 페어를 이메일로 보낸다.

이후 랜섬 노트인 CRYPTONAR RECOVERY INFORMATION.txt를 내린다. 여기에는 피해자에게 지정된 주소로 200달러를 비트코인으로 지불하라는 내용이 포함 되어 있다. 코인을 보낼 때, 공격자는 피해자에게 이메일 주소와 ID를 입력하라고 지시한다.

이후 해독기가 실행 되고 피해자가 랜섬머니를 지불한 후 받을 수 있는 개인 키를 입력하기를 기다린다.

하지만 현재 무료 해독기가 공개되었기 때문에 피해는 발생하지 않고 있다.

연구원은 피해자가 무료로 파일을 되돌려 받을 수 있도록 무료 CryptoNar 복호화툴을 제작해 공개했다.

감염자는 복호화툴을 실행 후 Settings > Brute Forcer를 누른다. 그리고 요청한 파일을 선택 후 Start를 클릭한다. 복호화툴은 선택 된 파일을 사용해 브루트포싱을 통해 복호화 키를 알아낼 것이다.

키가 발견 되면, Brute Forcer 스크린을 닫고 키를 로드해야 한다. 그리고 Select Directory를 누르고, C: 드라이브를 선택 후 Decrypt 버튼을 누르면 파일이 복호화 된다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★