✅ 보고서 제목:
랜섬웨어 복호화: Windows Locker 분석 및 복호화를 위한 도구
S2W 위협 인텔리전스센터에서 Windows Locker 랜섬웨어 분석 및 복호화에 대한 보고서를 발행했습니다. Windows Locker의 복호화 도구를 확인할 수 있는 난이도 높은 위협 인텔리전스 보고서입니다.
✅ 보고서 요약:
1. 보고서 소개
S2W의 위협 인텔리전스 센터는 2025년에 나온 랜섬웨어들을 지속적으로 추적하고 있으며, 이번 해 등장한 랜섬웨어들 중 분석을 통해 복호화가 가능한 Windows Locker 랜섬웨어를 확인하여 복호화 도구를 제작했습니다.
2. Windows Locker
Windows Locker는 .NET으로 작성된 악성코드로, 코드에 스페인어가 포함되어 있다는 점에서 스페인어를 구사하는 사용자가 개발한 것으로 확인됩니다.
3. 파일 암호화 방식
파일 암호화에 사용되는 AES 키값과 IV 값은 PBKDF2 알고리즘을 통해 생성되는데, 해당 알고리즘에서 사용되는 salt 값, 반복 횟수, Input 값이 고정적으로 사용된다는 점에서 키 값과 IV 값은 고정되어 사용됩니다.
4. 보고서 결론
Windows Locker 암호화 방식에 치명적인 결함을 사용하여 Windows Locker의 복호화 도구를 개발하였으며, 해당 도구를 통해 Windows Locker 랜섬웨어의 피해를 입은 시스템의 파일들을 복구하는데 중요한 역할을 할 것으로 예상합니다. (보다 자세한 내용은 아래 ‘위협 탐지 권장 사항 및 조치 방안’에서 확인 가능)
암호화 과정에서 AES 키를 생성 할 때 PBKDF2 알고리즘을 사용하였습니다. PBKDF2 알고리즘에서 48 바이트의 랜덤 값을 생성하는 시점에 salt 값, 반복 횟수, input 이 고정적으로 사용됩니다. 이러한 점에서 파일을 암호화할 때 사용되는 32 바이트의 AES 키 값과 16 바이트의 IV 값은 모든 파일에 고정적으로 사용됩니다.
- salt: 3, 4, 2, 6, 5, 1, 7, 8
- Iteration: 1000
- Input: SHA256(’1337’)
이러한 특징을 이용하여 S2W 위협 인텔리전스 센터에서는 Windows Locker로 암호화된 파일들을 복호화하는 도구를 제작하였습니다. 해당 도구는 깃헙에 공개한 아래 링크의 복호화 도구를 통해 확인할 수 있습니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- S2W 위협 인텔리전스 센터는 지속적으로 신규 랜섬웨어를 추적하고 있으며, 분석을 통해 복호화가 가능한 랜섬웨어를 발견했습니다.
- Windows Locker는 .NET으로 작성된 악성코드로, 코드에 스페인어가 포함되어 있다는 점에서 스페인어를 구사할 수 있는 개발자가 제작한 것으로 확인됩니다.
- C2 연결 주소 등의 미완성된 부분이 존재한다는 점에서 추후 업데이트될 가능성이 존재합니다.
- 해당 랜섬웨어에서 파일 암호화에 사용되는 AES 키와 IV 값이 고정적으로 사용되므로, 이러한 암호학적 결함을 통해 복호화 도구를 제작하였습니다.
- 구체적인 분석 이미지와 코드 전문은 아래 링크를 통해 영문으로 확인하실 수 있습니다.
🧑💻 보고서 작성자: S2W TALON (2025-03-26 기준)
👉 보고서 전문 보기: https://bit.ly/3XygdQF
*해당 보고서는 별도 문의 가능하며 S2W의 플랫폼 구독 시 전문으로 제공됩니다.