세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
10만원만 줘! 저가형 랜섬웨어 ‘에레보스’ 등장
  |  입력 : 2017-02-17 16:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에레보스(Erebus), UAC 보안기능 우회하여 권한 상승, 복원 기능 비활성화

[보안뉴스 원병철 기자] 저렴한 복구비용으로 피해자를 유혹하는 랜섬웨어가 나왔다. 보안전문기업 하우리(대표 김희천)는 최근 복구비용으로 10만원을 요구하는 에레보스 랜섬웨어가 발견되어 PC 사용자들의 주의가 요구된다고 밝혔다.

▲ 에레보스 랜섬웨어 감염 안내 화면


‘에레보스(Erebus)’ 랜섬웨어는 윈도우 이벤트 뷰어를 이용한 ‘사용자 계정 제어(UAC) 보안 기능’ 우회 기법을 활용해 PC에서 상승된 권한으로 실행된다. 레지스트리를 수정해 ‘.msc’ 확장명에 대한 연결을 하이재킹하고, 이를 통해 상승모드에서 실행된 이벤트 뷰어의 권한에 따라 실행된다.

랜섬웨어는 추적을 어렵게 하기 위해 스스로 ‘익명(Tor) 브라우저 클라이언트’를 다운받아 네트워크 통신에 사용한다. 사용자 PC에 존재하는 70개의 확장자를 포함하는 주요 파일들에 대해 암호화를 수행한다. 또한, ‘ROT-3’ 암호화 방식을 사용해 파일 확장자를 변경한다. 암호화가 완료되면, 경고창을 띄우고 랜섬웨어 감염 노트를 보여준다.

암호화 과정에서 ‘볼륨 쉐도우 복사본(Volume Shadow Copy)’을 지워 복구지점을 없애기 때문에 윈도우 복원은 불가능하다. 복호화를 위한 비용으로 0.085 비트코인(한화 약 10만 원)을 요구한다. 그러나 파일을 복호화한 이후에도 랜섬웨어는 지속적으로 남아서 실행될 수 있기 때문에 랜섬웨어 악성코드 파일까지 완벽히 제거해야 한다.

하우리 보안연구팀 김동준 연구원은 “이번 에레보스 랜섬웨어는 기존 랜섬웨어보다 비교적 저렴한 가격으로 감염자들이 복구비용을 내도록 유혹한다”며, “출처가 불분명한 파일은 절대 실행하면 안 되고 보안 업데이트를 항상 최신으로 수행하는 것은 물론 백신이나 취약점 차단 솔루션을 사용해야만 감염을 방지할 수 있다”고 밝혔다.

현재 하우리 바이로봇에서는 에레보스 랜섬웨어를 ‘Trojan.Win32.Ransom’의 진단명으로 탐지 및 치료할 수 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)