1. Yanluowang Ransomware 복호화 툴 무료 공개
Reference: https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/ / https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-yanluowang-ransomware-victims/
Kaspersky에서 Yanlouowang 랜섬웨어의 암호화 알고리즘 취약점을 발견하여 암호화 된 파일을 복구할 수 있다고 밝혔다. 해당 랜섬웨어의 변종에 의해 암호화된 파일을 해독할 수 있는 기능을 RannohDecryptor에 추가했다.
Download: https://support.kaspersky.com/8547
랜섬웨어 상세 내용
해당 랜섬웨어는 법 집행 기관에 연락하거나 랜섬웨어 협상 회사에 도움을 요청하지 말라는 경고의 README.txt 랜섬노트를 생성한다. 공격자의 요청이 충족되지 않으면 공격자는 DDoS 공격을 통해 위협을 하며 돈을 지불하지 않으면 다시 네트워크를 침해하고 데이터를 삭제한다는 협박을 진행한다.
랜섬웨어 기능에는 가상머신, 프로세스 및 서비스들을 종료하는 기능이 있는데 이는 사용중인 파일을 암호화 하기 위함이다. 종료된 프로세스에는 DB, 이메일 서비스, 브라우저, 문서작업 프로그램, 보안솔루션, 백업 및 쉐도우 복사본 서비스 등이 포함된다.
공개된 정보에 따르면 다른 RaaS 제품군이 아닌 표적공격에만 사용되며, 실행 자체는 매개변수가 필요하며 내용은 다음과 같다.
ecrpyt.exe [(-p. -path, --path)<path>]파일의 암호화는 RSA-1024 비대칭 알고리즘을 통해 암호화 된 Sosemanuk 스트림 암호를 사용한다.
또한 Yanlouowang 은 임계치 3GB를 파일의 크고 작음의 기준으로 한다. 작은 파일은 처음부터 끝까지 완전 암호화 되며, 큰 파일은 200MB 마다 5MB씩 암호화 된다.
복호화
known-plaintext attack을 통해 파일을 해독할 수 있는 취약점이다.
조건
- (공통조건) 원본 파일이 하나 이상 존재
- 3GB 이하의 파일 경우
- 크기가 1024 바이트 이상인 파일 쌍(암호화된 파일과 원본 파일)
- 이를 통해 3GB 이하의 모든 파일들을 복호화 할 수 있음
- 3GB 이상의 파일 경우
- 크기가 3GB 이상인 파일 쌍(암호화된 파일과 원본 파일)
- 이를 통해 3GB 이하, 이상의 모든 파일을 복호화 할 수 있음
조건에 적혀있는 것처럼 원본 파일이 3GB 보다 작은 파일만 있으면 3GB 보다 작은 파일만 복호화 할 수 있다.
IOC
Yanlouowang(MD5)
- afaf2d4ebb6dc47e79a955df5ad1fc8a
- ba95a2f1f1f39a24687ebe3a7a7f7295
'깔짝할짝' 카테고리의 다른 글
| 2022-04-25 Mon (0) | 2022.04.25 |
|---|---|
| 2022-04-21 Thur (0) | 2022.04.21 |
| 2022-04-14 Thur (0) | 2022.04.14 |
| 2022-04-13 Wed (0) | 2022.04.13 |
| 2022-04-11 (0) | 2022.04.11 |