꿈을꾸는 파랑새

단 페트야 랜섬웨어는 동작은 기본적으로 독일에 있는 한 회사를 목표로 했고 이력서를 발송해서 드롭박스(Drop box)에 악의적으로 조작된 파일을 열게 되면 MBR영역을 덮어씌우고 블루스크린을 뿜어져 내게 하는 방법을 사용하고 있으며
 회사를 타켓으로 메일을 통해 이력서를 전송하여 Dropbox에 업로드된 파일을 내려받도록 유도하고 있으며, 파일을 사용자가 실행하게 되며 시스템에 저장된 파일은 암호화하지 않지만, 하드디스크 MBR 영역을 PETYA 랜섬웨어(페트야 랜섬웨어)가 가지는 코드로 덮어쓰기 한 후 사용자 화면에서는 블루스크린(BSoD)이 발생합니다. 그리고 사용자가 무슨 일이지 하고 컴퓨터를 다시 부팅을 하면 재부팅을 하는 과정에서 CHKDSK 검사 단계를 진행하게 되지만 하드디스크에 있는 NTFS 파일 시스템이 PETYA 랜섬웨어에 의해 암호화되어버려 Master File Table(MFT)를 읽을 수 없어서 사용자는 사실상 컴퓨터를 사용할 수가 없게 됩니다.

일단 Janet Cybercrime Solutions이라는 곳에서 모든 Petya Ransomware(페트야 랜섬웨어)에 대한 마스터 암호 해독키를 공개를 했습니다. 물론 최근에 발견된 NotPetya는 적용이 되지 않습니다. 즉 예전에 Petya Ransomware(페트야 랜섬웨어)오리지널 버전에만 적용되는 것입니다. 해당하는 대상은 다음과 같습니다.
Petya 제품군의 일부인 ransomware 제품군을 해독할 수 있습니다. 이 목록에는 다음이 포함됩니다.
첫 번째 Pransa ransomware 버전 (부팅 화면에서 빨간색 배경에 흰색 해골이 깜박이는 버전)
M Mischa ransomware (부팅 중 화면에 검은색 배경에 녹색 두개골이 표시되는 버전)
GoldenEye ransomware (부팅 중 화면에 검은색 바탕에 노란색 해골이 표시가 되는 버전)
그리고 해당 Janus라는 사람이 Mega.nz에 올렸고 트위터에 마스터키를 공개했습니다.
헤당 내용
그리고 Malwarebytes 에서 일하시는 보안 연구원 Hasherezade씨가 파일을 열었으며 그 내용을 공유했습니다.

개인키:secp192k1
38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
그리고 얼마 안 있어 카스퍼스키 보안 업체 직원이 Anton Ivanov가 마스터 키의 유효성을 테스트하고 유효성을 확인했습니다.
이번 페트야 랜섬웨어 마스터 복원 화는 과거 버전을 암호화하는 데 사용되는 개인키를 사용을 하는데 그리고 이 키를 통합하는 복원화 도구를 만들 수 있었습니다. 물론 두 번의 암호화를 두 번 이상 깨뜨렸지만 공개키로 개인 키를 사용하면 이전에 알려진 방법보다 훨씬 빠르게 파일을 복구할 수 있어졌습니다.
일단 복원화 조건은 하드디스크를 복제했거나 암호화된 데이터 사본을 저장 한 랜섬웨어 피해자에게만 적용됩니다. 일단 예전 버전의 페트야 랜섬웨어에 감염이 되신 분들에게는 유용하게 사용을 할 수가 있을 거라 생각이 됩니다.


728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band