> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“저렴한 복구비용 요구 ‘에레보스’ 랜섬웨어 등장”
PC에 악성코드 계속 남아 공격 재개 가능…악성코드 찾아 완전 제거해야
2017년 02월 17일 15:43:07 김선애 기자 iyamm@datanet.co.kr
   

하우리(대표 김희천)는 10만원의 저렴한 복구비용을 요구하는 ‘에레보스(Erebus)’ 랜섬웨어가 활동하고 있다며 사용자의 주의를 요구했다. 120만원 상당의 1비트코인을 요구하는 일반 랜섬웨어와 달리 에레보스는 10만원의 저렴한 비용을 요구해 사용자들이 쉽게 돈을 보내도록 한다. 그러나 악성코드가 PC에 계속 남아 언제든 공격을 재개할 수 있기 때문에 돈을 주고 데이터를 푸는 것 보다 감염되지 않도록 주의하고, 악성코드를 찾아 완전히 제거하는 것이 필요하다.

에레보스는 윈도우 이벤트 뷰어를 이용한 사용자 계정 제어(UAC) 보안 기능 우회 기법을 활용해 PC에서 상승된 권한으로 실행된다. 레지스트리를 수정해 .msc 확장명 연결을 하이재킹하고, 이를 통해 상승모드에서 실행된 이벤트 뷰어의 권한을 따라 실행된다.

랜섬웨어는 추적을 어렵게 하기 위해 스스로 익명(Tor) 브라우저 클라이언트를 다운받아 네트워크 통신에 사용한다. 사용자 PC에 존재하는 70개의 확장자를 포함하는 주요파일들에 대해 암호화를 수행한다. 또한 ‘ROT-3’ 암호화 방식을 사용해 파일 확장자를 변경한다. 암호화가 완료되면, 경고창을 띄우고 랜섬웨어 감염 노트를 보여준다.

암호화 과정에서 볼륨 쉐도우 복사본을 지워 복구지점을 없애기 때문에 윈도우 복원은 불가능하다. 복호화를 위한 비용으로 0.085 비트코인(한화 약 10만 원)을 요구한다. 그러나 파일을 복호화한 이후에도 랜섬웨어는 지속적으로 남아서 실행될 수 있기 때문에 랜섬웨어 악성코드 파일까지 완벽히 제거해야 한다.

하우리 관계자는 “에레보스 랜섬웨어는 기존 랜섬웨어보다 비교적 저렴한 가격으로 감염자들이 복구 비용을 내도록 유혹한다”며 “출처가 불분명한 파일은 절대 실행하면 안 되고 보안 업데이트를 항상 최신으로 수행하고 백신이나 취약점 차단 솔루션을 사용하여 감염을 방지할 수 있다”고 밝혔다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  하우리, 에레보스, UAC, 보안, 랜섬웨어
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr