상단여백
HOME 뉴스 컴퓨팅
워너크라이 랜섬웨어 감염 PC 복구 가능해져...윈도XP, 윈도7 대상

[키뉴스 박근모 기자] 지난 한주동안 글로벌 전역에서 큰 피해를 입힌 워너크라이 랜섬웨어에 감염돼 PC내 파일이 암호화되더라도 이를 복구할 수 있는 방법이 공개됐다. 마이크로소프트(MS) 윈도XP와 윈도7를 사용하는 PC의 경우 워너크라이 랜섬웨어에 감염됐더라도 재부팅 하지 않았다면 해당 랜섬웨어를 제거해 감염된 파일을 복원할 수 있는 프로그램을 프랑스의 보안 전문가가 개발한 것으로 알려졌다.

해당 복구 프로그램은 랜섬웨어 암호화 기본 키 번호를 PC 메모리 상에서 찾아내 복호화 키를 역으로 생성하는 방식으로 작동한다. 감염된 순간 PC 메모리에 저장된 정보를 사용하기 때문에 재부팅 후에는 메모리 상 데이터가 사라져 해당 프로그램으로도 복구가 불가능해진다.

깃허브에 올라온 워너크라이 랜섬웨어 복구툴 '워너키키' (사진=깃허브)

19일(현지시간) 외신 엔가젯은 프랑스의 보안 전문가 벤자민 델피가 워너크라이 랜섬웨어 암호 해독 도구 '워너키키'를 공개했다고 밝혔다.

워너키키는 프랑스 보안 전문가 안드리안 구네가 감염된 PC내 메모리 영역에서 워너크라이 랜섬웨어 암호키를 찾을 수 있는 방법(워너키)을 기반으로 만들어진 암호 해독 도구로 알려졌다.

워너크라이 랜섬웨어는 기본적으로 사용자의 PC를 감염시켜 암호화 하는 방식에 있어서 소수로 이뤄진 한쌍의 암호화 키를 생성해 이를 바탕으로 PC 전체 파일을 암호화 시킨다. 안드리안 구네는 워너크라이 랜섬웨어가 PC를 감염시켜 암호화 시키는 과정에서 생성하는 한쌍의 암호화 키를 PC 메모리에 저장하는 방식으로 작동하는 점을 착안해 감염된 메모리 상에서 복호화 키를 추출할 수 있다.

안드리안 구네는 "워너크라이 랜섬웨어는 암호화 키를 메모리 상에 저장한 상태에서 파일 암호화 과정이 진행된다"라며 "메모리에 저장된 암호화 키가 그대로 남아 있어야지만 해커들에게 비트코인 지불을 하지 않아도 일부 복구가 가능하다"고 설명했다.

다만, 해당 방법은 현재 윈도XP와 윈도7에서만 동작하며 감염 후 재부팅해 메모리상에서 워너크라이 랜섬웨어 암호화 키인 '워너키'가 지워진다면 복구가 불가능하다.

워너키키를 개발한 벤자민 델피는 "안드리안 구네가 공개한 방법을 기반으로 만들어진 워너키키를 이용하면 워너크라이에 감염된 PC 중 일부를 복구 가능하다"라며 "이 방법이 완벽한 복구 방법이 아닌 탓에 경우에 따라 작동하지 않을 수 있다"고 주의를 당부했다.

한편, 워너키키 프로그램은 깃허브(https://github.com/gentilkiwi/wanakiwi/releases)에서 다운로드 후 사용 가능하다.

박근모 기자  suhor@kinews.net

<저작권자 © 키뉴스, 무단 전재 및 재배포 금지>

#워너크라이#랜섬웨어#워너키#워너키키

박근모 기자의 다른기사 보기
icon인기기사
여백
여백
키뉴스 TV
여백
여백
여백
여백
여백
여백
여백
여백
여백
Back to Top