Shade 랜섬웨어, 복호화 키 공개하고 피해자들에게 사과

  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기

Shade 랜섬웨어 (Troldesh) 운영자들이 활동을 중단하고 75만 개 복호화 키를 공개했습니다. 그리고 피해자들에게 사과를 했습니다. 랜섬웨어 공격자들이 피해자들에게 사과하고 복호화 키를 공개한 것은 이례적인 것 같습니다.

[ 이 글은 2020년 4월 29일에 작성되었습니다. ]

Shade 랜섬웨어, 75만 개 복호화 키를 공개하고 피해자들에게 사과

Shade 랜섬웨어 복호화 키 공개

BleepingComputer라는 해외 사이트에 의하면 셰이드 랜섬웨어 운영자들이 문을 닫고 복호화 키를 공개했다고 합니다.

Shade Ransomware는 2014년경부터 활동을 시작했습니다. 러시아와 다른 CIS 국가(러시아를 비롯해 아제르바이잔, 우즈베키스탄, 우크라이나, 벨라루스, 몰도바, 아르메니아, 카자흐스탄, 키르기스스탄, 투르크메니스탄 등의 국가) 사람들을 타겟으로 하지 않는 다른 랜섬웨어 패밀리와 달리 셰이드의 주 공격 대상은 러시아와 우크라이나 사람들이라고 합니다.

이번주에 Shade Ransomware 운영자들이 GitHub 레파지토리(Repository)를 개설하고 2019년 말에 랜섬웨어 배포를 중단했다고 밝혔습니다. 이 랜섬웨어 공격자들은 그들의 행위에 대해 사과하고 공개된 키를 사용하여 파일을 복구하는 방법에 대한 지침을 제공하고 있습니다.

We are the team which created a trojan-encryptor mostly known as Shade, Troldesh or Encoder.858. In fact, we stopped its distribution in the end of 2019. Now we made a decision to put the last point in this story and to publish all the decryption keys we have (over 750 thousands at all). We are also publishing our decryption soft; we also hope that, having the keys, antivirus companies will issue their own more user-friendly decryption tools. All other data related to our activity (including the source codes of the trojan) was irrevocably destroyed. We apologize to all the victims of the trojan and hope that the keys we published will help them to recover their data.

우리는 Shade, Troldesh, Encoder.858 등으로 알려진 trojan-encryptor를 만든 팀입니다. 사실 우리는 2019년 말에 랜섬웨어 배포를 중단했습니다. 이제 우리는 이 일의 마침표를 찍고 75만 개가 넘는 모든 복호화 키(decryption key)를 공개하기로 했습니다. 우리는 또한 decryption soft를 공개하며, 이 키들을 가지고 안티바이러스 업체들이 보다 사용이 편리한 복호화 툴들을 발표하기를 바랍니다. 우리 활동과 관련된 기타 모든 자료(trojan 소스 코드 포함)는 복구가 불가능한 방식으로 폐기했습니다. 이 트로이 목마(trojan)의 모든 피해자들에게 사과드리며 공개한 키들이 피해자들의 데이터를 복구하는 데 도움이 되기를 바랍니다.

자세한 내용은 GitHub 레파지토리에서 확인할 수 있습니다. (업데이트: GitHub 레파지토리가 삭제되었습니다.)

GitHub 레파지토리에는 5개의 마스터 복호화 키, 75만 개가 넘는 개별 피해자의 복호화 키, 그리고 사용 방법에 대한 지침과 복호화 프로그램 링크가 포함됩니다.

Shade 마스터 복호화 키
Shade 마스터 복호화 키.

그러나 복호화 툴을 사용하기가 그리 쉽지 않기 때문에 피해자들이 복구 작업을 하는 데 어려움이 있을 수 있다고 합니다.

Kaspersky에서 이 복호화 키를 포함하도록 랜섬웨어 복호화 툴 업데이트 예정

Kaspersky Lab에 의하면 해당 키들은 유효하면 키들을 사용하여 테스트 머신을 복호화할 수 있었다고 합니다. Kaspersky에서는 피해자들이 무료로 데이터를 쉽게 복구할 수 있도록 이 키들을 포함하도록 RakhniDecryptor 랜섬웨어 복호화 툴(ransomware decryption tool)을 업데이트할 계획이라고 밝혔습니다.

하지만 언제 복호화 툴을 업데이트할 것인지에 대해서는 알려지지 않았습니다.

마치며

랜섬웨어에 감염되면 데이터 복구가 사실상 불가능할 수 있으므로 조심하는 것이 최선 같습니다. 웹호스팅을 이용하는 경우에도 국내 웹호스팅 업체들을 대상으로 한 랜섬웨어 공격이 빈번하므로 정기적으로 백업하는 것을 잊지 마시기 바랍니다.

참고:



댓글 남기기