카스퍼스키 연구소, CoinVault 및 Bitcryptor 랜섬웨어 피해자를 위한 무료 복호화 키 공개

카스퍼스키가 랜섬웨어 피해자를 위해 CoinVault 및 Bitcryptor 랜섬웨어에 대한 14,000개의 복호화 키 공개

카스퍼스키 연구소는 CoinVault 및 Bitcryptor 랜섬웨어 변종의 종료를 발표하며, 이러한 변종에 의해 암호화된 파일을 잠금 해제하는 데 필요한 14,000개 이상의 복호화 키를 공개하여 피해자들이 무료로 파일을 되찾을 수 있는 기회를 제공했습니다.

랜섬웨어는 다운로드, 피싱 캠페인 및 악성 링크를 통해 퍼지는 특히 악성 코드의 전염성이 강한 유형입니다. 시스템이 감염되면 잠금 화면이 나타나고 장치의 모든 파일이 암호화됩니다.

사이버 보안 회사는 2014년 5월 CoinVault 공격을 처음 발견했습니다. 그 이후로, 이 공격적인 랜섬웨어는 감염된 컴퓨터의 데이터 파일을 심각하게 암호화하고 암호화 키에 대한 대가로 비트코인을 요구하며 108개국 이상에서 1,500명 이상의 피해자를 발생시켰습니다. 이 악성코드 공격으로 인해 큰 피해를 입은 국가는 네덜란드, 독일, 미국, 프랑스 및 영국입니다. 랜섬웨어는 또한 피해자에게 CoinVault의 저자가 실제로 암호화된 파일을 잠금 해제할 수 있는 방법을 설명하기 위해 “무료 복호화”를 제공하는 특징이 있습니다.

CoinVault 파일 암호화 랜섬웨어 프로그램은 2014년 11월 카스퍼스키 연구원에 의해 처음 문서화되었습니다. 그 후 4월에 네덜란드 경찰의 국가 고급 범죄 수사대(NHTCU)는 압수된 CoinVault 서버에서 일부 복호화 키를 회수했습니다.

그 후 이 프로그램의 저자들은 잠시 휴식을 취했지만 CoinVault 악성코드 캠페인은 크게 저지되지 않았습니다. 그러나 그들은 결국 CoinVault의 2세대 버전인 Bitcryptor라는 새로운 버전을 출시했습니다. 하지만 올해 9월, 네덜란드 법 집행 기관은 랜섬웨어 공격과 관련하여 18세와 22세의 두 명을 체포하면서 NHTCU는 타격을 입었습니다.

경찰이 사이버 범죄자들의 인프라에 접근한 후, 카스퍼스키 연구소 전문가들은 CoinVault의 명령 및 제어(C&C) 서버에서 모든 남은 CoinVault 및 Bitcryptor 복호화 키를 추출할 수 있었으며, 이 서버에는 복호화 키, 설치 벡터(IV) 및 개인 비트코인 지갑이 포함되어 있었고, 이를 noransom.kaspersky.com 웹사이트에 게시했습니다.

CoinVault를 더 연구하기 위해 카스퍼스키 연구원들은 이러한 자원을 사용했으며, 분석 결과 랜섬웨어가 CFB 블록 암호 모드와 256비트 AES를 사용하는 것으로 밝혀졌습니다.

이러한 발견은 보안 회사가 올해 4월 네덜란드에 호스팅된 서버에서 회수된 약 750개의 키를 랜섬웨어 복호화 서비스에 업로드할 수 있게 했습니다. 이제 모든 14,000개의 복호화 키가 카스퍼스키의 랜섬웨어 도구를 통해 제공됩니다.

가장 널리 퍼진 랜섬웨어 프로그램 중 하나인 CryptoWall 3.0을 조사한 보안 회사의 연합은 피해자에게 약 3억 2500만 달러를 갈취했습니다. 연구자들은 49개의 CryptoWall 3.0 캠페인에서 최소 40만 건의 감염 시도가 있었던 것으로 보고하고 있습니다.

이러한 발견은 보안 회사가 올해 4월 700개 이상의 복호화 키를 발표할 수 있게 했습니다. 이제 카스퍼스키는 모든 14,000개의 키를 공개했습니다.

“네덜란드 경찰의 국가 고급 범죄 수사대(NHTCU), 네덜란드 국가 검찰청 및 카스퍼스키 연구소는 CoinVault 및 Bitcryptor 랜섬웨어 캠페이에 맞서기 위해 협력해왔습니다.” 카스퍼스키의 복호화 도구를 호스팅하는 페이지에 읽혀집니다. “우리의 공동 조사 중에 우리는 귀하의 PC에서 인질로 잡힌 파일을 복호화하는 데 도움이 될 수 있는 데이터를 확보했습니다. 우리는 이제 Coinvault 및 Bitcryptor 피해자를 위해 모든 파일을 자동으로 복호화하는 새로운 복호화 애플리케이션을 공유할 수 있습니다. 자세한 내용은 이 사용 방법 가이드를 참조하십시오. 우리는 이 사건을 종료된 것으로 간주하고 있습니다. 랜섬웨어 저자들은 체포되었으며 모든 기존 키가 우리의 데이터베이스에 추가되었습니다.”

CoinVault의 영향을 받았다고 생각하는 사용자는 여기에서 복호화 키에 직접 접근할 수 있습니다.