□ 개요
최근 복구 비용으로
10만원을 요구하는 에레보스(Erebus) 랜섬웨어가 발견되었다. 에레보스 랜섬웨어는 윈도우 OS에서 사용자 계정 제어(UAC) 보안 기능을 우회하는 취약점을 활용하여 공격하기 때문에 PC 이용자들의
주의가 요구된다.
□ 내용
에레보스 랜섬웨어는 윈도우 이벤트 뷰어를 이용한 사용자
계정 제어 보안 기능 우회 기법을 활용한다. 이를 위해 레지스트리를 수정하여 “.msc” 확장명에 대한 연결을 하이재킹하고, 이를 통해 상승모드에서
실행된 이벤트 뷰어의 권한을 따라 실행되기 때문에 PC이용자는 모르게 실행된다.
[그림 1] msc 확장자 하이재킹을 위한 레지스트리 수정
에레보스 랜섬웨어에 감염되면 http://ipecho.net/plain과
http://ipinfo.io/country에
연결하여 감염자의 아이피와 국가를 알아낸 다음 익명(Tor) 브라우저 클라이언트를 다운받아 명령제어에
사용한다. 익명 브라우저를 이용하면 여러 IP를 경유하기
때문에 추적이 어려워진다. 암호화 과정에서 볼륨 쉐도우 복사본(Volume
Shadow Copy)를 지워 복구 지점을 없애 윈도우 복원을 불가능하게 만든다.
[그림 2] 에레보스 랜섬웨어 감염노트
암호화가 완료되면 파일 확장자를 “ROT-3” 암호화 방식으로 변경한다. 암호화가 완료되면 경고창을
띄우고 랜섬웨어 감염 노트를 보여준다. 복구 비용은 0.085비트코인(한화 약 10만원)을 요구하며
기존 랜섬웨어들에 비해서 저렴한 편이지만 악성코드가 남아있을 경우 msc 확장자를 실행할때마다 UAC 우회 기법을 통해 재감염되기 때문에 반드시 악성코드 파일까지 완벽하게 제거해야한다.
[그림 3] ROT-3으로 암호화된 확장자
매크로를 이용하여
UAC 우회 기법을 위한 레지스트리 수정을 하는 것으로 보여지기 때문에 문서작업을 위한 프로그램들의 보안 업데이트를 최신으로 유지하고
백신과 취약점 차단 솔루션을 사용하여 감염을 미연에 방지하여야 한다.
[표 1]
에레보스가 암호화하는 확장자 목록
□ 바이로봇 업데이트 내역
Trojan.Win32.Z.Erebus.1249280
외 다수
※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html