청호PENTEST - Professional Penetration Testing Company

Select Language

파일 복호화한 이후에도 랜섬웨어 지속적으로 남아 실행될 수 있어


▲ 에레버스 랜섬웨어 감염 화면. 하우리 제공
▲ 에레버스 랜섬웨어 감염 화면. 하우리 제공
웹호스팅 업체 ‘인터넷나야나’가 지난 10일 오전 랜섬웨어에 감염돼 이 업체가 관리하는 국내 기업, 대학, 단체 등의 웹사이트와 리눅스 서버 300여 대 가운데 153개가 감염돼 5천여 개 사이트의 파일들이 암호화돼 큰 피해가 예상된다.

미래 창조과학부는 12일 “워너크라이 랜섬웨어와는 달리 이번 에레버스(Erebus) 랜섬웨어는 특정 업체를 타깃으로 한 공격으로 추정된다. 인터넷나야나는 현재 서버를 복구 중이며 KISA에서도 필요한 조치를 지원하고 있다”고 설명했다.

인터넷나야나 측은 11일 공지사항을 통해 다음과 같이 공지했다.

“인 터넷나야나에서는 보안 부분과 이중 백업을 철저히 시행했으나 해커의 공격으로 인해서 해당 서버들의 데이터가 랜섬웨어에 감염되었다. 저희는 2017년 6월 10일 01시 30분 경 랜섬웨어 공격을 최초 확인했고 랜섬웨어 공격 발견 즉시 저희는 인터넷진흥원 및 사이버수사대에 신고 조치했으며 현재 조사 및 수사 중에 있다.

감염상황은 Erebus 랜섬웨어에 해킹되었으며 대상은 리눅스 서버이고, 감염대수 153대다.

복 구를 위한 해커의 최초 요구사항은 각 리눅스 서버 당 10비트코인(한화 3천2백71만원) 이었다. 이어 6월 11일 현재 해커의 최종 요구사항은 6월 14일 23시 59분까지 각 리눅스 서버 당 5.4비트코인(한화 1천755만 원)이다.

저희는 랜섬웨어에 감염된 파일로 확인 후 백업된 자료로 복구하려고 했으나 원본 파일을 포함한 내부 백업 및 외부 백업 모두 랜섬웨어에 감염되어 모두 암호화 되었다는 사실을 확인했다.

저희는 인터넷나야나에서 관리하는 웹 호스팅, 서버 호스팅, 도메인, 위탁관리 및 인계가 가능한 업체를 논의하는 등 고객님들의 이익을 보호하기 위해서 저희가 할 수 있는 최선을 다하고 있다. 

랜섬웨어 자료 복구 가능 여부는 현재 인터넷진흥원의 조사와 사이버수사대의 수사가 진행 중이어서 당장 복구가 어려운 상황이지만 빠른 시간내에 복구를 할 수 있는 방안들도 찾아 보고 있다”고 밝혔다.

한국인터넷진흥원 관계자는 “분석할 서버 양이 많아 정확한 감염경로를 찾는데 시간이 걸릴 것”이라고 말했다.

한 편 지난 2월 17일 에레버스 랜섬웨어 감염을 경고한 하우리는 “Erebus 랜섬웨어는 윈도우 이벤트 뷰어를 이용한 사용자 계정 제어(UAC) 보안 기능 우회 기법을 활용해 PC에서 상승된 권한으로 실행된다. 레지스트리를 수정해 ‘.msc’ 확장명에 대한 연결을 하이재킹하고, 이를 통해 상승모드에서 실행된 이벤트뷰어의 권한을 따라 실행되게 된다”고 설명했다.

또 “추적을 어렵게 하기 위해 스스로 ‘익명(Tor) 브라우저 클라이언트’를 다운받아 네트워크 통신에 사용한다. 사용자 PC에 존재하는 70개의 확장자를 포함하는 주요파일들에 대해 암호화를 수행한다. 또한 “ROT-3” 암호화 방식을 사용해 파일 확장자를 변경한다. 암호화가 완료되면 경고창을 띄우고 랜섬웨어 감염 노트를 보여준다”고 밝히고 그리고 “암호화 과정에서 ‘볼륨 쉐도우 복사본(Volume Shadow Copy)’을 지워 복구지점을 없애기 때문에 윈도우 복원은 불가능하다. 한편 파일을 복호화한 이후에도 랜섬웨어는 지속적으로 남아서 실행될 수 있기 때문에 랜섬웨어 악성코드 파일까지 완벽히 제거해야 한다”고 덧붙였다.

번호 제목 닉네임 조회 등록일
6501 어도비 제품군 최신 보안취약점…악성코드 감염 위험 커 주의
[레벨:30]관리자
3 2017-06-16
6500 사이버 공격자들, Samba 취약점 악용해 시스템 공격…주의
[레벨:30]관리자
5 2017-06-16
6499 전력그리드 공격용으로 제작된 크래쉬 오버라이드 악성코드
[레벨:30]관리자
3 2017-06-16
6498 랜섬웨어 공격자들, 이미 지난해부터 한국 호스팅 업체 공격해 돈 맛 봤다
[레벨:30]관리자
5 2017-06-16
6497 미국이 디도스 봇넷의 배후로 북한을 공식 지목했다
[레벨:30]관리자
3 2017-06-16
6496 CVE-2017-8551 外
[레벨:30]관리자
4 2017-06-16
6495 인터넷나야나 랜섬웨어, 또 다른 웹호스팅 업체 공격 ‘전적’
[레벨:30]관리자
2 2017-06-16
6494 인터넷나야나, 파산 각오하고 해커와 협상한다고?
[레벨:30]관리자
2 2017-06-15
6493 유로폴 공조로 지불카드 사기단 31명 검거 성공
[레벨:30]관리자
1 2017-06-15
6492 어도비 플래시 업데이트 파일 위장 ‘직소’ 랜섬웨어 유포중
[레벨:30]관리자
2 2017-06-15
6491 웹호스팅 업체 리눅스 서버 감염시킨 ‘에레버스 랜섬웨어’ 분석 정보
[레벨:30]관리자
6 2017-06-14
6490 오직 전력망만 노리는 멀웨어, 전 세계 정전 위험
[레벨:30]관리자
3 2017-06-14
6489 CVE-2017-1247 外
[레벨:30]관리자
4 2017-06-14
6488 일본 14세 소년, 랜섬웨어 만들었다가 체포
[레벨:30]관리자
3 2017-06-13
6487 러시아 해커, 카타르통신 해킹해 가짜 뉴스 업데이트…혼란 조장
[레벨:30]관리자
5 2017-06-13
Selected 웹호스팅업체 암호화시킨 ‘에레버스 랜섬웨어’ 특징…지난 2월에 이미 경고
[레벨:30]관리자
6 2017-06-13
6485 CVE-2017-9543 外
[레벨:30]관리자
3 2017-06-13
6484 유명 브랜드 URL 꼼꼼히 살펴야 피싱 공격 피한다
[레벨:30]관리자
4 2017-06-12
6483 CVE-2015-8538 外
[레벨:30]관리자
6 2017-06-12
6482 CVE-2016-9991 外
[레벨:30]관리자
3 2017-06-12
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X