2024-03-28 20:10 (목)
비트코인 캐시 요구하는 첫 랜섬웨어 'Thanatos'...복호화 불가능해
상태바
비트코인 캐시 요구하는 첫 랜섬웨어 'Thanatos'...복호화 불가능해
  • 길민권 기자
  • 승인 2018.02.28 14:07
이 기사를 공유합니다

Thanatos 랜섬웨어, 복호화 키 관리되지 않아 복호화 어려워

TA-1.jpg
최근 랜섬웨어 개발자들이 제대로 테스트하지 않고 버그가 포함 된 상태인 랜섬웨어를 배포하고 있어 랜섬머니를 전달해도 복호화가 불가능한 상황인 것으로 드러났다. 램섬웨어 감염에 각별한 주의가 요구된다.

최근 보안 연구원들이 발견한 새로운 랜섬웨어인 '타나토스(Thanatos)'도 같은 경우인 것으로 밝혀졌다.

Thanatos 랜섬웨어가 PC를 감염시키면 암호화 된 각 파일 마다 새로운 키를 사용한다. 하지만 문제는 이 키들이 어디에도 저장되지 않는 다는 점이다.

이는 사용자가 랜섬머니를 지불 하더라도 랜섬웨어 개발자들은 사실상 파일을 복호화 할 수 있는 방법이 없다는 것이다. 따라서 Thanatos에 피해를 입은 사용자들은 돈을 지불하지 않아야 한다.

한편 각 파일에 대한 키를 브루트포싱을 통해 알아낼 수 있을지 모른다는 것이다. 하지만 일반적인 파일 형식이어야 하며 시간이 꽤 소요될 것으로 분석됐다.

Thanatos는 비트코인 캐시를 받는 첫 번째 랜섬웨어로 알려졌다. 이 외에 비트코인과 이더리움도 받는다.

Thanatos 랜섬웨어는 컴퓨터를 암호화 후, 암호화 한 모든 파일을 위한 각각의 암호화 키를 생성한다. 하지만 불행히도 암호화 키는 어디에도 저장 되지 않기 때문에, 랜섬 머니를 지불하더라도 파일은 복호화 할 수 없다.

이는 파일을 암호화 후 .THANATOS 확장자를 붙인다. 예를 들어 test.jpg가 암호화 될 경우 test.jpg.THANATOS가 된다.

암호화 과정이 끝나면, 감염 된 사용자들의 수를 추적하기 위해 iplogger.com/1t3i37에 연결한다.

이후 사용자가 로그인 할 때 마다 랜섬노트인 README.txt를 오픈하는 "Microsoft Update System Web-Helper"라는 자동 실행 키를 생성한다.

랜섬 노트에는 표시 된 비트코인, 이더리움 또는 비트코인 캐시 주소로 200달러를 보내라는 내용이 포함 되어 있다. 또한 복호화 프로그램을 받기 위해서 thanatos1.1@yandex.com으로 고유 ID를 포함해 연락하라고 되어있다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★