2020-05-31 10:25 (일)
웹호스팅업체 암호화시킨 ‘에레버스 랜섬웨어’ 특징…지난 2월에 이미 경고
상태바
웹호스팅업체 암호화시킨 ‘에레버스 랜섬웨어’ 특징…지난 2월에 이미 경고
  • 길민권 기자
  • 승인 2017.06.12 16:35
이 기사를 공유합니다

파일 복호화한 이후에도 랜섬웨어 지속적으로 남아 실행될 수 있어

▲ 에레버스 랜섬웨어 감염 화면. 하우리 제공
▲ 에레버스 랜섬웨어 감염 화면. 하우리 제공
웹호스팅 업체 ‘인터넷나야나’가 지난 10일 오전 랜섬웨어에 감염돼 이 업체가 관리하는 국내 기업, 대학, 단체 등의 웹사이트와 리눅스 서버 300여 대 가운데 153개가 감염돼 5천여 개 사이트의 파일들이 암호화돼 큰 피해가 예상된다.

미래창조과학부는 12일 “워너크라이 랜섬웨어와는 달리 이번 에레버스(Erebus) 랜섬웨어는 특정 업체를 타깃으로 한 공격으로 추정된다. 인터넷나야나는 현재 서버를 복구 중이며 KISA에서도 필요한 조치를 지원하고 있다”고 설명했다.

인터넷나야나 측은 11일 공지사항을 통해 다음과 같이 공지했다.

“인터넷나야나에서는 보안 부분과 이중 백업을 철저히 시행했으나 해커의 공격으로 인해서 해당 서버들의 데이터가 랜섬웨어에 감염되었다. 저희는 2017년 6월 10일 01시 30분 경 랜섬웨어 공격을 최초 확인했고 랜섬웨어 공격 발견 즉시 저희는 인터넷진흥원 및 사이버수사대에 신고 조치했으며 현재 조사 및 수사 중에 있다.

감염상황은 Erebus 랜섬웨어에 해킹되었으며 대상은 리눅스 서버이고, 감염대수 153대다.

복구를 위한 해커의 최초 요구사항은 각 리눅스 서버 당 10비트코인(한화 3천2백71만원) 이었다. 이어 6월 11일 현재 해커의 최종 요구사항은 6월 14일 23시 59분까지 각 리눅스 서버 당 5.4비트코인(한화 1천755만 원)이다.

저희는 랜섬웨어에 감염된 파일로 확인 후 백업된 자료로 복구하려고 했으나 원본 파일을 포함한 내부 백업 및 외부 백업 모두 랜섬웨어에 감염되어 모두 암호화 되었다는 사실을 확인했다.

저희는 인터넷나야나에서 관리하는 웹 호스팅, 서버 호스팅, 도메인, 위탁관리 및 인계가 가능한 업체를 논의하는 등 고객님들의 이익을 보호하기 위해서 저희가 할 수 있는 최선을 다하고 있다. 

랜섬웨어 자료 복구 가능 여부는 현재 인터넷진흥원의 조사와 사이버수사대의 수사가 진행 중이어서 당장 복구가 어려운 상황이지만 빠른 시간내에 복구를 할 수 있는 방안들도 찾아 보고 있다”고 밝혔다.

한국인터넷진흥원 관계자는 “분석할 서버 양이 많아 정확한 감염경로를 찾는데 시간이 걸릴 것”이라고 말했다.

한편 지난 2월 17일 에레버스 랜섬웨어 감염을 경고한 하우리는 “Erebus 랜섬웨어는 윈도우 이벤트 뷰어를 이용한 사용자 계정 제어(UAC) 보안 기능 우회 기법을 활용해 PC에서 상승된 권한으로 실행된다. 레지스트리를 수정해 ‘.msc’ 확장명에 대한 연결을 하이재킹하고, 이를 통해 상승모드에서 실행된 이벤트뷰어의 권한을 따라 실행되게 된다”고 설명했다.

또 “추적을 어렵게 하기 위해 스스로 ‘익명(Tor) 브라우저 클라이언트’를 다운받아 네트워크 통신에 사용한다. 사용자 PC에 존재하는 70개의 확장자를 포함하는 주요파일들에 대해 암호화를 수행한다. 또한 “ROT-3” 암호화 방식을 사용해 파일 확장자를 변경한다. 암호화가 완료되면 경고창을 띄우고 랜섬웨어 감염 노트를 보여준다”고 밝히고 그리고 “암호화 과정에서 ‘볼륨 쉐도우 복사본(Volume Shadow Copy)’을 지워 복구지점을 없애기 때문에 윈도우 복원은 불가능하다. 한편 파일을 복호화한 이후에도 랜섬웨어는 지속적으로 남아서 실행될 수 있기 때문에 랜섬웨어 악성코드 파일까지 완벽히 제거해야 한다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★