꿈을꾸는 파랑새

체코 프라하에 본사를 두는 보안 업체인 Avast(어베스트)에서 지난 열흘 동안 우크라이나 시스템을 노린 타깃형 공격에 사용된 HermeticRansom 랜섬웨어에 대한 복호화 툴을 공개를 했습니다. 해당 HermeticRansom 랜섬웨어 복원화 도구는 어베스트 공식 홈페이지에서 다운로드 를 해서 사용을 할 수가 있습니다.

Hermetic Ransom 는 지난 2022년2월 23일 우크라이나에서 러시아 군대의 침공이 전개되기 불과 ​​몇 시간 전인 2월 23일 ESET 연구원에 의해 발견이 되었고 해당 랜섬웨어는 HermeticWizard 웜과 함께 배포가 되었으며 금전 탈취에 보다는 데이터 삭제 미끼역할을 했으면 해당 악성코드는 Crowdstrike는 해당 변종의 GO로 작성된 암호화 스키마에서 빠르게 취약점을 발견해 HermeticRansom(PartyTicket)으로 암호화된 파일을 복호화해주는 스크립트 공개가 되었습니다.

즉 랜섬웨어를 살포하기 위해서 충분히 테스트를 하지 않았거나 Go 경험이 없거나 앞서 이야기한 것처럼 시간이 촉박해서 배포되었기 때문에 아마도 빨리 해독이 되었을 것 같습니다.

어베스트 HermeticRansom 랜섬웨어 복구 도구 공개

Avast decryption Too for HermeticRansom 실행
Avast decryption Too for HermeticRansom 실행

HermeticRansom에는 랜섬웨어 바이너리, 랜섬 노트 및 연락처 이메일(vote2024forjb@protonmail(.)com 및 stephanie.jones2024@protonmail(.)com)에 정치적으로 지향된 수많은 문자열 이름이 포함돼 있고 취약점이 존재한다고 하지만 RSA-2048 키를 사용하여 Program Files 및 Windows 폴더 외부의 중요한 파일을 암호화 가능하면 어베스트 에서 제공하는 프로그램을 사용을 복구할 수가 있으면 도구는 암호화 프로세스에 문제가 발생하는 경우 되돌릴 수 없는 파일 손상을 방지하기 위해 암호화된 파일을 백업하는 옵션을 제공하고 있습니다.

일단 해당 HermeticRansom 랜섬웨어에 감염이 되신 분들은 해당 북구 도구를 사용해서 암호화가 된 파일들을 복구를 시도하시면 될 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band