안녕하세요. 이스트시큐리티입니다.
지난 주말(6/10) 특정 웹호스팅 업체에서 운영중인 리눅스 서버가 랜섬웨어에 감염되었습니다. 이에 해당 웹호스팅 서비스를 사용하는 많은 사이트들이 랜섬노트를 띄우거나 정상적으로 사이트를 이용할 수 없는 사태가 발생했습니다.
※ 관련 글
- 국내 특정 웹호스팅 서비스를 사용하는 사이트를 공격한 Erebus 랜섬웨어 (▶바로가기)
공격을 받은 웹호스팅 업체에서 언급한 바에 따르면 서버에 저장된 원본파일과 백업파일이 모두 암호화된 상황으로 보이며, 이는 몇 년전에 최초 발견된 랜섬웹 케이스와 가장 유사해보입니다.
랜섬웹은 랜섬웨어와 비교했을 때, 암호화하는 데이터의 규모가 크고 가치가 높으며, 준비기간이 길다는 특징이 있습니다.
※ 관련 글
- 랜섬웹이란? (▶바로가기)
[그림 1] 랜섬웹 페이지 소스에 존재하는 'zh-cn' 중국어 언어 설정
해당 랜섬웨어는 리눅스용 ELF 파일이며, 랜섬웨어 내부 문자열에 "EREBUS IS BEST."와 같은 내용을 포함하고 있습니다.
[그림 2] Erebus 랜섬웨어 파일 내 존재하는 EREBUS 관련 문자열
Erebus 랜섬웨어 파일 내 존재하는 C&C 주소는 216.126.224.128이며 Tor네트워크를 사용하고 있습니다. 단, C&C 주소에 접속하지 않더라도 파일 암호화 행위를 진행합니다.
[그림 3] Tor 주소코드 화면
Erebus 랜섬웨어가 암호화하는 파일 확장자는 총 433개이며, 미디어 파일, 압축 파일, 오피스 문서 파일, 백업 파일 등 다양한 형태의 파일을 암호화합니다.
[그림 4] Erebus 랜섬웨어가 암호화하는 파일 확장자 관련 코드 화면
Erebus 랜섬웨어가 파일 암호화 작업을 종료하면 아래의 코드를 이용해 랜섬노트를 화면에 띄우게 됩니다.
[그림 5] Erebus 랜섬웨어 랜섬노트 코드
Erebus 랜섬웨어를 통해 실제 암호화된 파일 2개를 살펴보면 아래와 같이 헤더 부분이 동일함을 확인할 수 있습니다.
[그림 6] 암호화된 파일 2개 비교화면
[그림 7] 알약 for Linux의 Erebus 랜섬웨어 탐지화면
한편, 알약 및 알약 for Linux에서는 6/11부터 Erebus 랜섬웨어에 대해 Trojan.Ransom.Linux.Gen으로 탐지하고 있습니다.
’최신영화 다시보기’로 위장한 악성앱 유포 주의 (0) | 2017.06.15 |
---|---|
이력서 검색기로 위장한 악성코드, 토렌트를 통해 유포중! (0) | 2017.06.13 |
국내 특정 웹호스팅 서비스를 사용하는 사이트를 공격한 Erebus 랜섬웨어 (0) | 2017.06.12 |
워너크라이 랜섬웨어 화면으로 위장한 모바일 랜섬웨어 등장 (1) | 2017.06.08 |
'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! (0) | 2017.06.01 |
댓글 영역