Erebus 랜섬웨어 초동분석 보고서

안녕하세요. 이스트시큐리티입니다.

지난 주말(6/10) 특정 웹호스팅 업체에서 운영중인 리눅스 서버가 랜섬웨어에 감염되었습니다. 이에 해당 웹호스팅 서비스를 사용하는 많은 사이트들이 랜섬노트를 띄우거나 정상적으로 사이트를 이용할 수 없는 사태가 발생했습니다.

※ 관련 글

 - 국내 특정 웹호스팅 서비스를 사용하는 사이트를 공격한 Erebus 랜섬웨어 (▶바로가기)

공격을 받은 웹호스팅 업체에서 언급한 바에 따르면 서버에 저장된 원본파일과 백업파일이 모두 암호화된 상황으로 보이며, 이는 몇 년전에 최초 발견된 랜섬웹 케이스와 가장 유사해보입니다.

랜섬웹은 랜섬웨어와 비교했을 때, 암호화하는 데이터의 규모가 크고 가치가 높으며, 준비기간이 길다는 특징이 있습니다. 

※ 관련 글

 - 랜섬웹이란? (▶바로가기)

[그림 1] 랜섬웹 페이지 소스에 존재하는 'zh-cn' 중국어 언어 설정

해당 랜섬웨어는 리눅스용 ELF 파일이며, 랜섬웨어 내부 문자열에 "EREBUS IS BEST."와 같은 내용을 포함하고 있습니다. 

[그림 2] Erebus 랜섬웨어 파일 내 존재하는 EREBUS 관련 문자열

Erebus 랜섬웨어 파일 내 존재하는 C&C 주소는 216.126.224.128이며 Tor네트워크를 사용하고 있습니다. 단, C&C 주소에 접속하지 않더라도 파일 암호화 행위를 진행합니다.

[그림 3] Tor 주소코드 화면

Erebus 랜섬웨어가 암호화하는 파일 확장자는 총 433개이며, 미디어 파일, 압축 파일, 오피스 문서 파일, 백업 파일 등 다양한 형태의 파일을 암호화합니다.

[그림 4] Erebus 랜섬웨어가 암호화하는 파일 확장자 관련 코드 화면

Erebus 랜섬웨어가 파일 암호화 작업을 종료하면 아래의 코드를 이용해 랜섬노트를 화면에 띄우게 됩니다.

[그림 5] Erebus 랜섬웨어 랜섬노트 코드

Erebus 랜섬웨어를 통해 실제 암호화된 파일 2개를 살펴보면 아래와 같이 헤더 부분이 동일함을 확인할 수 있습니다. 

[그림 6] 암호화된 파일 2개 비교화면

[그림 7] 알약 for Linux의 Erebus 랜섬웨어 탐지화면

한편, 알약 및 알약 for Linux에서는 6/11부터 Erebus 랜섬웨어에 대해 Trojan.Ransom.Linux.Gen으로 탐지하고 있습니다.