WannaCry(워너크라이)랜섬웨어 복구 도구 WanaKiwi 공개

2017년5월11일부터 인터넷이 연결된 컴퓨터 환경에서 사용자의 컴퓨터를 감염시키는 랜섬웨어인 WannaCry(워너크라이)랜섬웨어가 발견이 되었습니다. 일단 기본적으로 미국의 비밀기관이면서 2차 세계대전에서 정보 분석을 담당했으면 암호 해독으로 종전을 앞당겼던 국가 기관이면 특히 당시 일본의 암호 체계였던 1급 암호기인 퍼플(PURPLE)을 해독 했으며 미드웨이 해전에서 일본 해군에 밀렸지만, 해당 미드웨이 해전을 승전을 이끌기도 했고 일면 미국의 눈 국가안보국이며 최근에는 스노든의 프리즘 프로젝트가 관련되있죠! 있고 최근에 미국 NSA에서 사용했던 Shadow Brokers 그룹에 의해서 해킹이 되어서 인터넷을 통해서 취약점이 공개되는 되었고 해당 취약점 도구 중에서 ETERNALBLUE 취약점을 악용해서 Windows SMBv1 서버에 임의적으로 조작된 메시지를 전송을 통해서 원격코드 실행문제가 기능을 했고 이에 대해서 마이크로 소프트는 2017년3월 정기 보안 갱신에 해당 보안 취약점은 MS17-010 보안패치를 적용했고 현재는 사태가 진정이 되고 있습니다.

일단 Quarkslab 프랑스 보안 연구원인 Adrien Guinet이 Windows XP, Windows 7, Windows Vista, Windows Server 2003 및 2008 운영 체제에서 작동하는 무료 WannaCry ransomware 에서 사용되는 랜섬웨어 암호 키를 검색하는 방법을 발견해서 해당 WannaCry(워너크라이)랜섬웨어인 WanaKiwi 북구 툴 공개를 했습니다. 일단 WannaCry의 랜섬웨어는 피해자의 컴퓨터에 한 쌍의 키를 생성하여 작동하며 공개 키와 시스템 파일을 각각 암호화하고 해독하는 개인 키가 있습니다. WannaCry 는 시스템에서 키를 지우고 피해자가 랜섬웨어에 몸값을 지급하는 것을 제외하고는 해독 키를 검색할 수 있는 선택권을 주지 않습니다.

여기서 해당 부분에 메모리를 확보하기 전에 메모리에서 소수를 지우지 않는다는 것에 창안해서 해당 복구 도구가 탄생하게 되었습니다. Guinet에 의하면 cry.exe 프로세스에서 RSA 개인 키를 생성하는 프로세스이고 CryptDestroyKey와 CryptReleaseContext는 연결된 메모리를 해제하기 전에 메모리에서 소수를 지우지 않는 특징이 있다고 합니다. 여기에 창안해서 만들어진 WannaCry(워너크라이)랜섬웨어 WanaKiwi 북구 도구입니다. 일단 조건은 다음과 같습니다.

WannaCry(워너크라이)랜섬웨어 WanaKiwi 복구 툴

감염된 컴퓨터가 재부팅되지 않는 조건
물론 해당 랜섬웨어를 암호화된 파일을 복구하는 조건은 운이 따라야 합니다. 그리고 Benjamin Delpy가 WannaCry에 감염된 파일 암호 해독의 전체 과정을 단순화하는 Guinet 발견에 기반을 두며 WanaKiwi 라는 도구가 탄생했습니다.
동작하는 운영체제는 다음과 같습니다.
Windows XP, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008
일단 WannaCry(워너크라이)랜섬웨어 감염이 되어서 고생을 하시는 분들에게는 도움이 될 것 같습니다.

<기타 관련 글>

[보안(Security)] - WannaCry(워너크라이)랜섬웨어를 모방한 WannaCry(워너크라이)랜섬웨어 4.0 변종 랜섬웨어 등장

[보안(Security)] - 워너 크라이 랜섬웨어(WannaCry Ramsomware) 킬 스위치 우회 도메인 등장 및 워너 크라이 랜섬웨어(WannaCry Ramsomware) 예방법

[보안(Security)] - WannaCry(워너크라이)랜섬웨어 감염 증상 및 예방 방법

[보안(Security)] - DarkoderCrypt0r 랜섬웨어 감염 증상 및 예방 방법