Ded Cryptor 랜섬웨어 소개

최근 영어권과 러시아권에서 발견된 Ded Cryptor라는 랜섬웨어 트로이목마는 2비트코인(1300달러)이라는 거액을 요구하며 아직 복호화 솔루션도 존재하지 않는 상태다. Ded Cryptor에 감염된 컴퓨터의 배경화면은 아래와 같이 산타클로스와 함께 금전요구가 나오는 그림으로 바뀐다.

Ded Cryptor 랜섬웨어의 배경에는 사실 상당히 복잡한 이야기가 얽혀 있다. 터키 보안전문가 Utku Sen은 랜섬웨어를 제작하고 해당 코드를 개발자 협업채널인 GitHub에 공개했다. 이는 사이버공격자가 해당 코드를 토대로 악성코드를 직접 제작하도록 유도하고 미리 심어둔 백도어를 통해 이들의 행동양상을 이해하려는 전략이었다. Sen은 이보다 앞서 교육 및 연구 목적으로 Hidden Tear라는 이름의 랜섬웨어 프로젝트도 진행하고 있었다. 그는 이후 오프라인에서도 작동 가능한 신종 랜섬웨어를 개발했으며 이를 토대로 EDA2라는 강력한 랜섬웨어가 만들어졌다. EDA2는 Hidden Tear에 비해 개선된 비대칭 암호화방식을 채택했으며 C&C 서버와 통신하면서 서버에 전송하는 키를 암호화시킨다. 피해자에게는 아래와 같이 엽기적인 사진을 보여주기도 한다.

EDA2 소스코드 또한 GitHub에 공개됐으며 이는 많은 주목과 비판을 불러들였다. 실제로 이 소스코드는 랜섬웨어 공격에 악용될 수 있었으며 Sen 또한 이를 이해하고 있었다. 그는 자신이 공개한 랜섬웨어에 미리 백도어를 삽입해 뒀으며이를 통해 복호화 키를 수집할 수 있었다. 랜섬웨어가 작동할 경우 해당 C&C 서버의 URL을 알아내고 복호화키를 추출하여 이를 피해자에게 배포하는 과정을 염두에 두고 있었던 것이다. 그런데 이를 위해서는 피해자 측에서 먼저 Sen의 존재를 알아야 하는데 사실 실제 피해자의 대부분은 그의  존재를 전혀 모르는 상태였으며 따라서 복호화키 배포에 시간이 걸린다는 점이 이 방식의 약점이었다.

Hidden Tear 및 EDA2를 응용한 랜섬웨어는 오래지 않아 등장했으며 Hidden Tear의 경우 위에서 소개한 방식대로 복호화키가 피해자들에게 배포될 수 있었다. 하지만 EDA2를 응용한 Magic 랜섬웨어의 경우 공격자 측에서 무료 호스트를 통해 C&C 서버를 운용했으며 호스트 측에서는 악성활동에 대한 신고에 대응하여 별도의 조치 없이 해당 사이버공격자의 계정과 파일을 삭제해 버렸기 때문에 본래 예정됐던 백도어를 통한 복호화키 추출이 불가능해졌다. Magic 랜섬웨어 제작자들은 여기에서 나아가 Sen과 접촉했으며 이들의 대화는 오랜 논란으로 이어졌다. Magic 제작자 측에서는 Sen이 EDA2 소소코드를 공개도메인에서 삭제하고 3비트코인을 지불한다면 자기네 복호화키를 공개하겠다는 제안을 내놨다. 이 과정에서 기존 피해자에 대한 금전요구는 없던 일이 된다는 합의도 도출됐다. 결국 Sen은 EDA2와 Hidden Tear의 소소코드를 GitHub에서 삭제했지만 이미 너무 늦은 상황이었다. 2015년 2월 2일 카스퍼스키 전문가 Jornt van der Wiel은 SecureList에 게재한 글을 통해 Hidden Tear 및 EDA2 기반 암호화툴이 24개에 달한다고 밝혔으며 이 수는 이후 계속 늘어났다.

Ded Cryptor는 바로 이 EDA2 소소코드를 기반으로 제작됐으며 다만 공격자 측 보안과 익명성 강화를 위해 Tor 네트워크를 통해 C&C 서버가 운용되며 tor2web 서비스를 통해 서버와의 통신이 이루어진다. Ded Cryptor 제작과정에서 프록시서버 코드는 다른 GitHub 개발자로부터 전달됐으며 암호화키 요청 코드는 제3자 개발자가 작성하는 등 여러 출처로부터 덕지덕지 만들어진 느낌이 강하다. Ded Cryptor는 서버와 직접 통신하지 않고 감염시킨 컴퓨터에 프록시 서버를 설정하고 이를 통해 서버와 통신한다는 점이 특이하다.

Ded Cryptor 제작자는 Magic 랜섬웨어와 마찬가지로 러시아어 사용자로 추정된다. 우선 금전지급 요구가 영어 및 러시아어로만 돼 있다. 그리고 카스퍼스키 선임맬웨어분석가 Fedor Sinitsyn의 분석 결과 C:\Users\sergey\Desktop

\доделать\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb 라는 파일경로가 발견되기도 했다. Ded Cryptor 배포경로에 대해서는 별로 알려진 내용이 없으며 다만 카스퍼스키에 다르면 러시아에서 가장 많이 발견되고 중국 독일, 베트남, 인도 등에서도 발견빈도가 높다고 한다.

Ded Cryptor는 앞서 언급했듯 현재로써는 복호화 수단이 존재하지 않으며 다만 운영체제에서 사전에 생성한 숨은 사본이 있을 경우에만 복구가능성이 있기 때문에 예방이 정말 중요하다. 카스퍼스키 솔루션의 경우 Hidden Tear 및 EDA2 기반 트로이목마를 탐지할 수 있고 Trojan-Ransom.MSIL.Tear를 탐지할 경우 이를 사용자에게 알리며 또한 랜섬웨어 작동을 차단하고 암호화를 방지할 수 있다.

<참고: 카스퍼스키 안티바이러스 상세정보>

John Snow, Ded Cryptor: Greedy ransomware with open-source roots, 7. 8. 2016.

https://usblog.kaspersky.com/ded-cryptor-ransomware/7379/

번역⋅요약: madfox

참고링크 

<유료안티바이러스 제품소개>