보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

웹호스팅 업체 서버 감염시킨 에레버스 랜섬웨어

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-06-14

지난 6월 10일, 국내 모 유명 웹 호스팅 업체의 리눅스 웹 서버 및 백업 서버 153대가 에레버스(또는 에레보스, Erebus) 랜섬웨어에 감염되었다. 서버 내 주요 파일이 암호화되었으며, 해당 업체에서 호스팅하는 중소 인터넷 쇼핑몰 등 3000여 개 사이트가 마비됐다. 당초 공격자는 복구 대가로 18억원 상당을 요구했으나, 이후 13억원으로 합의한 것으로 알려졌다.

 

이번 랜섬웨어 공격과 관련해 총 2개의 에레버스(Erebus) 랜섬웨어 파일이 확인되었다(6월 12일 기준). 이들 파일은 각각 32비트, 64비트 환경에서 동작하는 리눅스용 ELF 파일이다. 이들 악성 파일 내부에는 [그림 1], [그림 2]와 같이 EREBUS 문자열 및 암호화 관련 문자열이 다수 포함되어 있다. 

 

  

[그림 1] 에레버스 랜섬웨어 파일

 

  

[그림 2] 파일 내 암호화 관련 문자열 포함

 

악성 파일이 실행된 직후 주요 데이터 파일이 암호화되고 랜섬 노트 파일이 생성된다. 암호화된 파일명은 ‘[영문과 숫자 조합].ecrypt’로 변경되며, [그림 3]과 같이 랜섬노트를 노출하여 감염 사실을 알린다. 

 

  

[그림 3] 에레베스 랜섬웨어 감염 화면

 

이번 에레버스 랜섬웨어가 암호화하는 대상은 리눅스 시스템 내에 존재하는 .tar, .gz 등의 압축 파일을 비롯해 .jpg, .docx, .xlsx 등 문서 및 그림 파일 등이다. [표 1]은 에레버스 랜섬웨어의 암호화 대상인 확장자 리스트이다. 

 

tar, gz, tgz, taz, bz, tbz, bz2, lz, lzma, lz4, contact, dbx, doc, docx, jnt, jpg, mapimail, msg, oab, ods, pdf, pps, ppsm, ppt, pptm, prf, pst, rar, rtf, txt, wab, xls, xlsx, xml, zip, 1cd, 3ds, 3g2, 3gp, 7z, 7zip, accdb, aoi, asf, asp, aspx, asx, avi, bak, cer, cfg, class, config, css, csv, db, dds, dwg, dxf, flf, flv, html, idx, js, key, kwm, laccdb, ldf, lit, m3u, mbx, md, mdf, mid, mlb, mov, mp3, mp4, mpg, obj, odt, pages, php, psd, pwm, rm, safe, sav, save, sql, srt, swf, thm, vob, wav, wma, wmv, xlsb, 3dm, aac, ai, arw, c, cdr, cls, cpi, cpp, cs, db3, docm, dot, dotm, dotx, drw, dxb, eps, fla, flac, fxg, java, m, m4v, max, mdb, pcd, pct, pl, potm, potx, ppam, ppsm, ppsx, pptm, ps, pspimage, r3d, rw2, sldm , sldx, svg, tga, wps, xla, xlam, xlm, xlr, xlsm, xlt, xltm, xltx, xlw, act, adp, al, bkp, blend, cdf, cdx, cgm, cr2, crt, dac, dbf, dcr, ddd, design, dtd, fdb, fff, fpx, h, iif, indd, jpeg, mos, nd, nsd, nsf, nsg, nsh, odc, odp, oil, pas, pat, pef, pfx, ptx, qbb, qbm, sas7bdat, say, st4, st6, stc, sxc, sxw, tlg, wad, xlk, aiff, bin, bmp, cmt, dat, dit, edb, flvv, gif, groups, hdd, hpp, log, m2ts, m4p, mkv, mpeg, ndf, nvram, ogg, ost, pab, pdb, pif, png, qed, qcow, qcow2, rvt, st7, stm, vbox, vdi, vhd, vhdx, vmdk, vmsd, vmx, vmxf, 3fr, 3pr, ab4, accde, accdr, accdt, ach, acr, adb, ads, agdl, ait, apj, asm, awg, back, backup, backupdb, bank, bay, bdb, bgt, bik, bpw, cdr3, cdr4, cdr5, cdr6, cdrw, ce1, ce2, cib, craw, crw, csh, csl, db_journal, dc2, dcs, ddoc, ddrw, der, des, dgc, djvu, dng, drf, dxg, eml, erbsql, erf, exf, ffd, fh, fhd, gray, grey, gry, hbk, ibank, ibd, ibz, iiq, incpas, jpe, kc2, kdbx, kdc, kpdx, lua, mdc, mef, mfw, mmw, mny, moneywell, mrw, myd, ndd, nef, nk2, nop, nrw, ns2, ns3, ns4, nwb, nx2, nxl, nyf, odb, odf, odg, odm, orf, otg, oth, otp, ots, ott, p12, p7b, p7c, pdd, pem, plus_muhd, plc, pot, pptx, psafe3, py, qba, qbr, qbw, qbx, qby, raf, rat, raw, rdb, rwl, rwz, s3db, sd0, sda, sdf, sqlite, sqlite3, sqlitedb, sr2, srf, srw, st5, st8, std, sti, stw, stx, sxd, sxg, sxi, sxm, tex, wallet, wb2, wpd, x11, x3f, xis, ycbcra, yuv, mab, json, ini, sdb, sqlite-shm, sqlite-wal, msf, jar, cdb, srb, abd, qtb, cfn, info, info_, flb, def, atb, tbn, tbb, tlx, pml, pmo, pnx, pnc, pmi, pmm, lck, pm!, pmr, usr, pnd, pmj, pm, lock, srs, pbf, omg, wmf, sh, war, ascx, tif​ 

[표 1] 에레버스 랜섬웨어 암호화 대상 확장자

 

에레버스 랜섬웨어는 감염 시스템의 네트워크 접속 여부와 상관없이 암호화 행위를 수행한다. 파일 내에 존재하는 악성 C&C 주소는 ‘.onion’ 도메인인 토르(Tor) 네트워크를 이용하고 있으며, 확인된 주소는 [표 2]와 같다. 

 

 

[표 2] 악성 C&C와 Tor 네트워크 주소

 

 

V3 제품군에서는 에레버스 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다. 

<V3 제품군 진단명>

- Linux/Erebus (2017.06.11.01)

 

신•변종 랜섬웨어가 지속적으로 등장함에 따라 랜섬웨어 피해 규모도 천문학적인 숫자로 늘어나고 있다. 랜섬웨어  피해를 막기 위해서는 고도화된 보안 솔루션 도입에 앞서 기본적인 보안 수칙 준수를 통한 사전 예방이 가장 중요하다. 

 

안랩은 랜섬웨어 보안센터를 통해 최신 랜섬웨어 정보와 함께 랜섬웨어 피해 예방 수칙 등의 정보를 제공하고 있다.

 

  • AhnLab 로고
  • ASEC
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.