국내서도 자주 목격되고 있는 랜섬웨어의 일종인 '테슬라크립트(TeslaCrypt)'로 암호화된 파일을 복호화해 정상파일로 되돌릴 수 있는 툴들이 공개됐다. 다만 최신 버전인 테슬라크립트 3.0 이전 버전을 통해 암호화된 파일들에 대해서만 가능하다.
보안연구원인 로렌스 에이브럼스는 최근 블리핑컴퓨터닷컴이라는 블로그에 테슬라크립트에서 발견된 취약점을 통해 암호화된 파일들을 복호화 시킬 수 있는 방법에 대해 상세히 소개했다.
테슬라크립트는 AES 암호화 알고리즘을 사용해 대상 파일들을 암호화시킨다. 여기에 사용된 AES 키는 파일들을 암호화하거나 다시 풀어보기 위해 복호화하는 과정에서 공통으로 사용된다.
이 랜섬웨어는 감염된 PC, 노트북과 새로운 세션을 통해 연결될 때마다 새로운 AES 키를 만들어 내 암호화한 파일에 저장한다. 때문에 암호화된 파일들이 서로 다른 키를 갖고 있게 된다.
테슬라크립트 제작자들은 이렇게 암호화 시킨 파일들 내부에 저장된 AES 키를 쉽게 추출하지 못하도록 또 다른 암호화 알고리즘을 써서 암호화한 뒤 해당 파일 내에 저장하는 방식을 썼다.
랜섬웨어에서 발견된 취약점은 이렇게 AES키를 암호화하는 방식이 기존 컴퓨팅 파워로도 충분히 풀어낼 수 있는 수준의 암호화 알고리즘을 썼다는 점이다.
에이브럼스에 따르면 특화된 프로그램을 사용하면 빠르면 5분 이내, 길게는 수일 내에 복호화키를 얻어낼 수 있다는 설명이다.
관련기사
- 하우리, 랜섬웨어 탐지 솔루션 무료 배포2016.01.25
- 모바일뱅킹 악성코드 위험수위2016.01.25
- 랜섬웨어 '디지털 인질극' 무섭게 늘었다2016.01.25
- "2015년 랜섬웨어-POS 겨냥 공격 거셌다"2016.01.25
현재로서는 테슬라크립트로 암호화된 파일들 중 확장자가 .ECC, .EZZ, .EXX, .XYZ, .AAA, .ABC, .CCC, .VVV인 파일들에 대한 복호화키를 얻어낼 수 있는 것으로 확인됐다. 다만 최신 버전인 테슬라크립트3.0에 사용된 .TTT, .XXX, .MICRO는 아직 복호화키를 알아내지 못한다.
카스퍼스키랩은 공격자들이 보안성이 낮은 암호화 알고리즘을 썼다는 점을 파악한 뒤 무료로 암호화된 파일을 복호화해주는 작업을 하고 있으며, '구글레이터(Googulator)'라는 닉네임을 쓰는 개발자는 '테슬라디코더'(다운로드링크)라는 툴을 만들어 배포하는 중이다. 이 개발자는 깃허브에서 파이썬으로 제작한 '테슬라크랙'을 누구나 쓸 수 있도록 공개하고 있다.
