개요

지난 6월 NotPetya Ransomware의 타이틀은 ' Petya is Nat a Ransomware' 였습니다. 랜섬웨어를 가장한 Disk Wiper 역할을 하는 악성코드였기 때문입니다. 지금부터 소개할 랜섬웨어는 'Data Wiper' 역할을 하는 IsraBye Ransomware입니다.

이스라엘 안녕(Isra Bye)이라는 확장자로 파일을 변경하는 이 악성코드는 금전적 목적이 아닌 파일을 파괴하고 공격자의 의도를 전달하는 핵티비즘(hacktivism) 목적이 강한 악성코드입니다. 핵티비즘이란 정치·사회적 목적으로 이루기 위해 해킹하거나 목표물인 서버컴퓨터를 무력화하고 이런 기술을 만드는 운동을 뜻합니다.

IsraBye 랜섬웨어에 감염이 되면 불타는 이스라엘 국기와 함께 웅장한 BGM 이 울려퍼집니다. 또한, 마우스 포인터에 'End of Israel' 글귀가 나타나게 되면서 랜섬웨어 감염 사실을 알려줍니다.

[그림] IsraBye 랜섬노트

IsraBye 랜섬웨어는 확장자를 변환하며 일반 랜섬웨어처럼 암호화를 하는 것 처럼 보이지만 파일의 데이터를 아래의 문자열로 대체하여 파일을 파괴합니다. 기본적으로 원본 데이터에 암호키를 사용하여 암호화 하면 해당 키로 복호화 하는 것은 가능하나 아예 데이터를 지워버리고 다른 데이터를 채워 넣는것입니다. 이 말 즉슨, 파일을 원상복구 할 수 없다는 뜻이 될 것입니다. 

Fuck-israel, [username] You Will never Recover your Files Until Israel disepeare

[그림] 내부 문자열

[그림] 파일 원본 데이터

[그림] 파일 파괴 데이터

IsraBye 랜섬웨어의 또 하나의 특징은 'BGM'이 삽입되어 있습니다. 'source.' 이름으로 실행되는 음악 파일이 존재합니다. 랜섬웨어 파일 내 Index.exe 실행 파일에서 추출되어 재생됩니다. 

[그림] 랜섬웨어 BGM 'source' 음악파일

[그림] Index.exe 파일 추출

랜섬노트에서 말하듯 해당 와이퍼는 파일을 복구 할 수 있다고 말하고 있지만 그들이 복구해 줄 수 있는 방법은 없습니다. 하지만 백업본을 가지고 있다면 쉐도우 볼륨 복사본에서 복원하거나 파일 복구 소프트웨어를 사용하여 복구 가능합니다. 하지만 그 전에 더 중요한 것은 신뢰하지 못하는 메일의 첨부파일을 다운로드나 실행하지 말아야 하며, 중요 자료는 독립된 공간에 백업을 필수로 해야 한다는 사실을 잊지 않으시길 바랍니다.

대응방안

출처

https://www.bleepingcomputer.com/news/security/israbye-is-a-anti-israel-data-wiper-disguised-as-ransomware/