[디지털투데이 박근모 기자] 지난 한주동안 글로벌 전역에서 큰 피해를 입힌 워너크라이 랜섬웨어에 감염돼 PC내 파일이 암호화되더라도 이를 복구할 수 있는 방법이 공개됐다. 마이크로소프트(MS) 윈도XP와 윈도7를 사용하는 PC의 경우 워너크라이 랜섬웨어에 감염됐더라도 재부팅 하지 않았다면 해당 랜섬웨어를 제거해 감염된 파일을 복원할 수 있는 프로그램을 프랑스의 보안 전문가가 개발한 것으로 알려졌다.
해당 복구 프로그램은 랜섬웨어 암호화 기본 키 번호를 PC 메모리 상에서 찾아내 복호화 키를 역으로 생성하는 방식으로 작동한다. 감염된 순간 PC 메모리에 저장된 정보를 사용하기 때문에 재부팅 후에는 메모리 상 데이터가 사라져 해당 프로그램으로도 복구가 불가능해진다.
19일(현지시간) 외신 엔가젯은 프랑스의 보안 전문가 벤자민 델피가 워너크라이 랜섬웨어 암호 해독 도구 '워너키키'를 공개했다고 밝혔다.
워너키키는 프랑스 보안 전문가 안드리안 구네가 감염된 PC내 메모리 영역에서 워너크라이 랜섬웨어 암호키를 찾을 수 있는 방법(워너키)을 기반으로 만들어진 암호 해독 도구로 알려졌다.
워너크라이 랜섬웨어는 기본적으로 사용자의 PC를 감염시켜 암호화 하는 방식에 있어서 소수로 이뤄진 한쌍의 암호화 키를 생성해 이를 바탕으로 PC 전체 파일을 암호화 시킨다. 안드리안 구네는 워너크라이 랜섬웨어가 PC를 감염시켜 암호화 시키는 과정에서 생성하는 한쌍의 암호화 키를 PC 메모리에 저장하는 방식으로 작동하는 점을 착안해 감염된 메모리 상에서 복호화 키를 추출할 수 있다.
안드리안 구네는 "워너크라이 랜섬웨어는 암호화 키를 메모리 상에 저장한 상태에서 파일 암호화 과정이 진행된다"라며 "메모리에 저장된 암호화 키가 그대로 남아 있어야지만 해커들에게 비트코인 지불을 하지 않아도 일부 복구가 가능하다"고 설명했다.
다만, 해당 방법은 현재 윈도XP와 윈도7에서만 동작하며 감염 후 재부팅해 메모리상에서 워너크라이 랜섬웨어 암호화 키인 '워너키'가 지워진다면 복구가 불가능하다.
워너키키를 개발한 벤자민 델피는 "안드리안 구네가 공개한 방법을 기반으로 만들어진 워너키키를 이용하면 워너크라이에 감염된 PC 중 일부를 복구 가능하다"라며 "이 방법이 완벽한 복구 방법이 아닌 탓에 경우에 따라 작동하지 않을 수 있다"고 주의를 당부했다.
한편, 워너키키 프로그램은 깃허브(https://github.com/gentilkiwi/wanakiwi/releases)에서 다운로드 후 사용 가능하다.
SNS 기사보내기
관련기사
- 몸값 요구하는 랜섬웨어, 확산되는 '비트코인'
- 안랩, '워너크라이' 랜섬웨어 전용 예방 툴 제공
- 전세계 강타한 '워너크라이' 랜섬웨어, 원인과 예방 대책
- 이스트시큐리티, '워너크라이' 랜섬웨어 예방툴 공개
- '워너크라이' 랜섬웨어 비상...윈도 업데이트 등 대비 필수
- "랜선만 뽑으면 안돼요" 랜섬웨어 '워너크라이' 막는 방법
- 전세계 랜섬웨어 피해 7만5천건, '변종' 계속 나타나
- 카스퍼스키랩, "워너크라이 랜섬웨어 피해 PC 중 98%는 윈도7"
- 일부 토플 시험장 랜섬웨어 감염으로 시험 취소
- 워너크라이 랜섬웨어 진정 국면...민·관 대응체계 운영 중
- 랜섬웨어 등 지능형위협공격에 대응 '안랩 MDS'
- MS, 보안 탐지 솔루션 기업 '헥사다이트' 1억달러에 인수
- 이스트시큐리티, '페덱스' 배송 메일로 위장한 한국형 랜섬웨어 확산
- 美보안업체 "워너크라이 랜섬웨어, 중국 해커 가능성 커"
- 단돈 2500만원이면 랜섬웨어를 막을 수 있다?
- 보안전문가그룹, 쉐도우브로커스 해킹툴 구입 계획 취소
- '워너크라이' 유사 모바일 랜섬웨어 중국서 발견
- MS, 윈도XP 포함한 보안 취약점 업데이트 실시