한 익명의 보안 연구원이 Petya 랜섬웨어에 사용된 암호화를 풀 수 있는 코드를 공개했다. 해당 랜섬웨어는 지난 달 독일 컴퓨터 사용자에 의해 처음 밝혀졌다. Petya는 감염된 윈도우 PC를 재부팅해 하드드라이브의 파일 시스템 테이블을 암호화하고 Master Boot Record(MBR) 영역을 덮어쓰기한 후, 재부팅한다. 기기가 다시 시작되면 멀웨어 코드가 운영체제에서 부팅되며, 이를 복구하는데 0.9 비트코인($381)을 요구한다.
 
그러나 트위터 아이디가 @leo_and_stone인 한 연구원은 MFT를 복구하는데 필요한 키를 크랙하는 알고리즘을 고안해 해당 랜섬웨어 감염을 복구하는데 성공했다. 이 멀웨어는 드라이브에 있는 sector 55에 저장된 512 바이트의 sector를 암호화하기 위해 Salsa 20 알고리즘 대신 Salsa 10을 사용했다. 입력된 키는 nonce와 결합되어, 해당 sector를 암호화하기 위해 사용된다. 만약 sector가 좋은 값으로 확인되면, 멀웨어는 Master File Table(MFT)을 암호화하는 코드로 대체하고 MBR을 재저장한다.
 
그는 해당 툴을 웹사이트에 올려두어 피해를 입은 사용자들이 컴퓨터를 복구할 수 있도록 했다. 이를 사용하기 위해서는 512 바이트의 sector와 8 바이트의 nonce를 디스크로부터 추출해야한다. 이 과정은 일반 사용자에게는 쉽지 않은 작업이어서, 보안업체 Emsisoft에서 데이터를 추출하기 위한 툴을 만들었다. 이렇게 추출한 데이터를 해당 웹사이트에 입력하면, 암호화 해제 키를 만들어낸다. 사용자는 이 키를 부팅시 나타나는 화면에 입력하면 된다.
 
한편, 보안 블로거 Graham Cluley는 “Petya 제작자들이 이미 Leostone의 툴에 대해 듣고 코드를 수정하고 있다”고 말했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 HSK 기자 mkgil@dailysecu.com