|
복호화 도구가 공개된 MafiaWare666 랜섬웨어 분석팀 2022.10.07 |
|
|
지난 10월 4일 보안 업체 AVAST는 MafiaWare666 랜섬웨어의 복호화 도구를 공개했다. MafiaWare666 랜섬웨어는 JCrypt, RIP Lmao, BrutusptCrypt 등으로 알려져 있으며, 국내에서는 Hades 랜섬웨어라고 주로 불린다. 암화된 파일에 추가되는 확장자 또는 버전에 따라 불리는 이름이 변경되며, 그만큼 다양한 형태의 랜섬노트도 함께 유포되었다.
MafiaWare666 랜섬웨어는 특정 디렉터리에 위치한 타깃 확장자를 가진 파일만 AES 알고리즘을 이용하여 암호화를 진행한다. 암호화 이전에 '[원본 파일명].MafiaWare666' 파일을 생성하여 암호화한 내용을 추가한 뒤, 원본 파일을 삭제한다.
이번에 공개된 AVAST사의 복호화 프로그램을 통해 암호화된 파일을 복호화할 수 있다. 다만, 파일을 복호화하기 위한 키값을 암호화된 파일과 원본 파일을 비교하여 얻기 때문에, 암호화 전후 파일이 각각 필요하다. 그렇기 때문에 랜섬웨어에 감염되었을 경우 이후에 어떤 경로를 통해 복호화 도구가 공개될지 모르기 때문에, 암호화된 파일이라도 별도로 보관해둘 필요가 있다. 또한, 랜섬웨어 감염을 예방하기 위한 사용자의 각별한 주의가 필요하다.
현재 윈스의 SNIPER APTX에서는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.
|