WannaCry 랜섬웨어의 코딩 실수로 파일을 되찾을 수 있습니다

WannaCry 랜섬웨어에는 파일을 되찾을 수 있는 코딩 실수가 있습니다

지난 달, 컴퓨터 세계는 WannaCry 랜섬웨어로 충격에 빠졌으며, 이 랜섬웨어는 정점에서 전 세계적으로 25만 대 이상의 PC에 영향을 미쳤습니다. 그러나 이는 고품질의 악성코드라는 의미는 아니며, WannaCry의 코딩 과정에서 발생한 결함으로 인해 복호화 키 없이도 파일을 복호화할 수 있다는 연구 결과가 나왔습니다.

환자 연구의 결실

카스퍼스키 연구소는 랜섬웨어의 코드에 실수가 포함되어 있어 사용자가 공개적으로 사용 가능한 도구나 기본 명령어로 파일을 복호화/복원할 수 있다고 결론지었습니다. 카스퍼스키 연구소의 수석 악성코드 분석가인 안톤 이바노프와 동료인 페도르 시니친, 오르한 마메도프는 악성코드를 깊이 연구한 후, 시스템 관리자가 이러한 파일을 복원할 수 있도록 하는 개발자의 3가지 주요 오류를 자세히 설명했습니다.

연구자들에 따르면, 문제는 악성코드가 암호화를 수행하는 방식에 있습니다. 악성코드는 먼저 원본 파일의 이름을 “.WNCRYT” 확장자로 변경한 후, 이를 암호화하고 원본 파일을 삭제합니다. 이는 악성코드가 읽기 전용 파일을 직접 암호화하거나 수정할 수 없기 때문입니다.

따라서 원본 파일은 손상되지 않고, 파일은 “숨김” 속성만 부여받으며, 따라서 파일을 복원하려면 사용자가 원본 속성을 복원하기만 하면 됩니다. 그러나 이것이 유일한 오류는 아니며, 경우에 따라 악성코드는 암호화 후 원본 파일을 삭제하지 못하기도 했습니다.

시스템 드라이브에서의 복구

연구자들은 문서나 바탕화면 폴더와 같은 중요한 위치에 있는 파일을 복구하는 것은 복호화 키 없이는 불가능하다고 명시했습니다. 이는 악성코드가 원본 파일을 삭제하기 전에 무작위 데이터로 덮어쓰도록 코딩되었기 때문입니다. 따라서 어떤 형태의 복구도 불가능합니다. 그러나 다른 위치에 있는 파일의 데이터는 데이터 복구 소프트웨어를 통해 임시 폴더에서 복원할 수 있습니다.

“…원본 파일은 %TEMP%\%d.WNCRYT로 이동됩니다(여기서 %d는 숫자 값을 나타냅니다). 이 파일들은 원본 데이터를 포함하고 있으며 덮어쓰이지 않습니다.” 연구자들이 말했습니다.

같은 연구자들은 악성코드가 암호화한 후 모든 원본 파일을 전송하는 숨겨진 ‘$RECYCLE’ 폴더를 생성한다는 사실도 발견했습니다. 따라서 ‘$RECYCLE’를 숨김 해제하면 모든 파일을 되찾을 수 있습니다. 경우에 따라 “동기화 오류”로 인해 원본 파일이 원래 디렉토리에 그대로 남아 있어 사용자가 간단한 데이터 복구 소프트웨어를 사용하여 파일을 복구할 수 있습니다.

WannaCry 피해자들을 위한 희망

이러한 오류는 파일을 복구할 수 없었던 악성코드 피해자들에게 희망의 빛이 됩니다.

“WannaCry 랜섬웨어에 감염되었다면 영향을 받은 컴퓨터에서 많은 파일을 복원할 수 있는 좋은 가능성이 있습니다. 코드 품질이 매우 낮습니다. 파일을 복원하려면 데이터 복구를 위한 무료 유틸리티를 사용할 수 있습니다.”

프랑스 연구자 아드리앙 기네와 벤자민 델피는 Windows XP, Windows 7, Windows Vista, Windows Server 2003 및 Server 2008에서 실행되는 무료 WannaCry 복호화 도구를 만들어 파일 복구를 가능하게 했습니다. 이 모든 동안, 세계는 여전히 헤드라인을 장식한 랜섬웨어의 범인을 추적하고 있습니다.

출처: The Hacker News