분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Fonix 및 Ziggy 랜섬웨어 디크립터 공개

TACHYON & ISARC 2021. 2. 17. 14:29

외신에 따르면 미 당국의 단속으로 인해 “NetWalker” 랜섬웨어의 정보 유출 사이트가 제재를 받았고, 세계적으로 악명높은 “Emotet” 악성코드의 운영진이 유로폴에 체포됐다고 알려졌다. 최근 발생한 일련의 사이버 범죄 행위에 대한 단속 및 검거로 인해 “Fonix” “Ziggy” 랜섬웨어 운영자는 위협을 느껴 운영을 중단한다고 발표하고 텔레그램에 복호화 키 및 디크립터(Decryptor)를 공개했다.

이후 카스퍼스키와 엠시소프트에서는 공개된 정보를 사용하여 “Fonix” “Ziggy” 랜섬웨어 전용 디크립터를 제작 및 배포했다.

 

Fonix” 랜섬웨어 운영자가 지난 1 30일에 운영을 중단하고 복호화 키를 공개하겠다고 트위터에 게시했고, 관련 정보가 필요하면 트위터에서 다이렉트 메시지 또는 운영자의 메일로 요청할 것을 공지했다.

 

[그림  1] Fonix  랜섬웨어 관리자 트위터 공지

 

Fonix” 랜섬웨어 운영자가 공개한 디크립터는 해당 랜섬웨어 그룹이 내부적으로 사용하던 것으로 “.XINOF” “.FONIX” 확장자를 사용하는 단일 파일만 복구가 가능하다는 문제점이 있다.

 

[그림  2] Fonix  랜섬웨어 디크립터

 

이후 카스퍼스키는 사용자의 편의를 위해 기존에 출시된 “RakhniDecryptor”에서 “Fonix” 랜섬웨어 복호화가 가능하도록 업데이트했다.

 

[그림  3]  카스퍼스키  – RakhniDecryptor

Fonix” 랜섬웨어에 이어, 2 7일에는 “Ziggy” 랜섬웨어 관리자가 텔레그램을 통해복호화 키를 공개하기로 결정했다고 밝히며 복호화 키가 포함된 SQL 파일과 디크립터를 공개했다.

 

[그림  4] Ziggy  랜섬웨어 복호화 키 및 디크립터 공개

.

Ziggy” 랜섬웨어 운영자는 공개한 복호화 키를 보안 업체에 보냈고 이를 사용하여 Emsisoft에서 “Ziggy” 랜섬웨어 디크립터를 제작 및 배포했다.

 

[그림  5] Ziggy  랜섬웨어 전용 디크립터

 

Fonix” “Ziggy” 랜섬웨어가 복호화 키를 공개한 후, 카스퍼스키와 비트디펜더 및 엠시소프트에서 전용 디크립터를 배포했으며 적용 대상은 [ 1]과 같다.

 

[표  1]  전용 디크립터 배포 업체 및 적용 확장자

 

최근 “Fonix” “Ziggy” 랜섬웨어 운영이 중단되고 복호화 키와 내부적으로 사용하던 디크립터가 공개됐지만 감염된 사용자의 접근 용이성이 다소 떨어진다. 이러한 문제점을 최소화하기 위해 카스퍼스키는 기존에 출시된 “RakhniDecryptor”에서 “Fonix” 랜섬웨어 복호화가 가능하도록 업데이트했고, 엠시소프트는 “Ziggy” 랜섬웨어 전용 디크립터를 제작하여 배포했다.

 

지금은 랜섬웨어 운영 중단 의사를 밝혔지만 추후에 기능을 추가하거나 새로운 랜섬웨어로 다시 활동할 수 있으니 주의가 필요하며, 랜섬웨어에 감염된 경우에는 변경된 확장자 정보를 확인하고 보안 업체에서 공식적으로 제작한 디크립터로 복구할 것을 권장한다.

 

 

[출처]

[1] Europol (2021.02.15) - WORLD’S MOST DANGEROUS MALWARE EMOTET DISRUPTED THROUGH GLOBAL ACTION

https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action

[2] Department of Justice (2021.02.16) - Department of Justice Launches Global Action Against NetWalker Ransomware

https://www.justice.gov/opa/pr/department-justice-launches-global-action-against-netwalker-ransomware

[3] bleepingcomputer (2021.02.15) - Fonix ransomware shuts down and releases master decryption key

https://www.bleepingcomputer.com/news/security/fonix-ransomware-shuts-down-and-releases-master-decryption-key/

[4] bleepingcomputer (2021.02.15) - Ziggy ransomware shuts down and releases victims' decryption keys

https://www.bleepingcomputer.com/news/security/ziggy-ransomware-shuts-down-and-releases-victims-decryption-keys/