보안 뉴스

단순한 암호 방식으로 손쉽게 복호화 가능한 iswr 랜섬웨어 국내 유포

yyyy7246 2023. 3. 10. 19:42

http://m.boannews.com/html/detail.html?idx=114940 

 

단순한 암호 방식으로 손쉽게 복호화 가능한 iswr 랜섬웨어 국내 유포

최근 iswr 랜섬웨어가 유포 중인 것이 확인됐다. iswr 랜섬웨어는 파일 암호화 시 파일명 뒤에 ‘iswr’이라는 확장자가 추가로 붙는 특징이 있다. 해당 랜섬웨어의 랜섬노트는 STOP 랜섬웨어와 똑같

m.boannews.com

 

기존 파일명 뒤에 'iswr' 이라는 확장자가 추가로 붙는 랜섬웨어가 국내에서 유포중이라고 한다.

랜섬노트는 STOP 랜섬웨어와 똑같은 형태를 갖지만, 암호화 방식이나 암호화 대상 확장자 및 폴더와 같은 랜섬웨어 동작루틴은 많이 다르다고한다.

 

랜섬노트가 뭔지?

- 그냥 파일들 못쓰게 암호화 해버렸으니 readme 처럼 어떻게 몸값을 지불하고 복호화하는지 알려주는 파일이였음. 

 

파일의 크기가 작은것부터 암호화 한다는데 

파일의 크기가 작을수록 문서일 확률이 높고 걸리기전에 최대한 많이 암호화 시키려고 그런가?

 

아무튼 문서, 이미지, 영상 압축파일 등등 암호화 시켜버림

확장자 목록

[pdf, doc, docx, jpeg, png, jpg, ai, aep, eps, psd, dwg, odt, odp, odb, docm, xls, xlsx, xlsm, xlsb, xlk, ppt, pptx, mdb, pst, dxf, rtf, pdd, indd, cdr, dng, arw, sr2, crw, pst, nef, raw, rwl, rw2, rw2, r3d, crw, sr2, crw, x3f, max, 3DS, skp]

 

 

기사 내용대로 확장자가 ISWR인걸 확인할 수 있음.

 

 

대부분 랜섬웨어의 암호화 방식은 비대칭키와 대칭키를 섞어서 복호화 하기가 어렵다고한다.

 

그런데 iswr은 오로지 비대칭키로만 암호화 진행하고 랜덤으로 만든 6바이트의 키 값을 이용해 256바이트의 키 박스를 생성하고, 키 박스에 특정 연산을 한 후 데이터와 XOR 연산을 통해 암호화 시킨다고한다.

 

안랩 ASEC 분석팀에서는 이미 복호화 툴을 만들었다고한다.

나는 암호학은 역대급 무지의 끝을 달리고 있어서 어떻게 복호화하는진 모르겠는데 6바이트 키값을 브루트 포싱하지 않을까? 

 

실제 감염자들은 이게 복호화 가능한지 모르고 값을 지불하는 경우도 있다는데, 솔직히 나도 랜섬웨어에 당하면 놀래서 줄 수 도 있을거 같긴하다. 

 

별개로 복호화가 쉽게 가능한 랜섬웨어이면 유포한 공격자가 실력이 없다고 생각되는데 최근에 속된말로 개나소나 해킹하는 사건들이 많아진다는 논문이였는지 기사였는지 본게 떠올랐음.

 

제목이 기억이 안나 지피티씨에게 물어봄.

 

 

 

 

아 지피티 세끼 없는 논문도 만들어낼수 있나? 검색이 안되네 

 

어어?

 

그럼 스크립트 키디 라는 용어를 알게되었으니 이게 뭔지 설명찾아보자

 

Script kiddie란?  

 

남이 만든  완전히 자동화 된 해킹툴이나 스크립트를 사용하여 피해를 끼치는 실력이 저조한 해커들을 말한다고 함.

그럼 이미 공격이 행해진 툴이나 스크립트들이니 백신, 소프트웨어, os들을 업데이트 잘하거나 취약점 조치들을 잘하면 얘네의 공격은 잘 피해갈 수 있겠다.

물론 본인들이 공격 대상의 정보들을 수집하고 이에 맞는 툴을 복합적으로 잘 쓰면 이 범주에 포함은 되지 않는다고 하는데, 

그냥 속된말로 ㅈ밥인데 고수인척하는 ㅈ문가의 뜻으로 많이 쓴다고 한다. 

 

아무튼  기사나 논문을 다시 찾아봤다.

 

https://venturebeat.com/security/defending-against-a-growing-botnet-and-ddos-epidemic-in-2023/

 

Defending against a growing botnet and DDoS epidemic in 2023

Botnet and DDoS attacks will continue to proliferate in 2023. Experts weigh in on how cybersecurity teams can prepare for and combat them.

venturebeat.com

He said, "A variety of 'solution' aimed at the 'market' of malicious actors places the ability to execute DDoS attacks within the reach of so-called 'script kiddies' (skilled people who mainly use scripts or programs developed by others for malicious purposes)."

 

스크립트 키디들에게 뿌려서 더 널리 퍼뜨린다는 내용같음

 

그럼 끝