AstraLocker 랜섬웨어 종료에 따른 암호 해독기 공개

 

AstraLocker 랜섬웨어 종료에 따른 암호 해독기 공개

 

AstraLocker 랜섬웨어 그룹은 랜섬웨어 작업을 중단하고 크립토재킹으로 전환할 계획이라고 말했습니다.

 

랜섬웨어의 개발자는 AstraLocker 해독기가 포함된 ZIP 아카이브를 VirusTotal 맬웨어 분석 플랫폼에 제출했습니다.

 

BleepingComputer는 아카이브를 다운로드하여 AstroLocker 랜섬웨어에 의해 암호화된 파일에 대해 암호 해독기 중 하나를 테스트를 진행했습니다.

[그림 1] AstraLocker 해독기 (BleepingComputer)

 

테스트 결과, 암호 해독기는 정상적으로 동작하는 것으로 확인되었으며, 아카이브 내 존재하는 다른 암호 해독기는 이전 버전에 대한 암호 해독기일 것으로 보입니다.

 

AstraLocker의 개발자는 "재미있는 일은 항상 언젠가는 끝납니다. 랜섬웨어 작업은 종료되었으며, 암호 해독기는 zip 파일에 있습니다. 우리는 랜섬웨어 작업을 종료하고 크립토재킹으로 전환할 것입니다." 라고 말했습니다.

 

개발자는 AstraLocker 랜섬웨어의 종료 이유를 밝히지 않았지만, 일각에서는 최근 법 집행 기관의 표적이 된 것을 하나의 이유로 보고 있습니다.

 

흔치 않은 일이지만, 이와 같은 랜섬웨어 그룹의 암호 해독키 / 암호 해독기 공개 사례는 과거 사례에서도 찾아볼 수 있습니다.

 

과거에 암호 해독 도구를 출시했던 랜섬웨어로는 Avaddon, Ragnarok, SynAck, TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy, FonixLocker가 있습니다.

AstraLocker 랜섬웨어 배경

 

위협 인텔리전스 회사인 ReversingLabs에 따르면, AstraLocker는 피해자의 기기를 암호화하는 방식에 있어 다른 랜섬웨어와 비교하였을 때 다소 정통하지 않은 방법을 사용했습니다.

 

AstraLocker 공격자는 기기를 해킹하거나 다른 위협 행위자로부터 액세스 권한을 구매하여 손상시키는 대신 이메일에 악성 Microsoft Word 문서를 첨부하여 직접 유포합니다.

 

AstroLocker 공격에 사용된 문서를 열면 보안 경고 대화 상자가 표시되고, 피해자가 실행을 클릭하면 랜섬웨어 페이로드가 있는 OLE 개체가 실행됩니다.

[그림 2] 악성 Microsoft Word 문서 열람 시 보안 경고 대화 상자 표시 (ReversingLabs)

 

랜섬웨어가 실행되면, 파일을 암호화하기 전에 가상 머신에서 실행 중인지 확인하고 특정 프로세스를 종료하며, 암호화 프로세스에 방해되는 백업 및 AV 서비스를 중지합니다.

 

ReversingLabs에 따르면 AstraLocker는 유출된 Babuk Locker 랜섬웨어의 소스 코드를 기반으로 제작된 것으로 분석되었습니다. 또한, AstraLocker의 랜섬노트에 있는 Monero 지갑 주소 중 하나는 Chaos 랜섬웨어 운영자와도 연결된 것으로 확인됩니다.

출처

https://www.bleepingcomputer.com/news/security/astralocker-ransomware-shuts-down-and-releases-decryptors/

 

 

 

보안관제센터 MIR Team