HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

리눅스 서버를 대상으로 하는 에레보스(Erebus) 변종 랜섬웨어 감염 주의
등록일 :
2017.06.12

개요

최근 리눅스 서버를 대상으로 암호화하는 에레보스(Erebus) 변종 랜섬웨어가 발견되었다. 에레보스 랜섬웨어는 국내 웹호스팅 업체의 리눅스 서버를 감염시켜 주요 파일과 백업파일, 호스팅을 맡긴 고객들의 파일까지 모두 암호화시켰으며, 특정 홈페이지 접속이 불가능하거나 회사 업무에 피해를 끼쳤다. 이번 랜섬웨어는 윈도우 운영체제가 아닌 리눅스를 공격으로 삼은 만큼 사용자들의 각별한 주의가 요구된다.

내용

금번에 발견된 에레보스 랜섬웨어는 감염될 시 사용자 PC의 주요 파일들이 암호화되고 확장자는 ‘.ecrypt’로 변경된다사용자의 주요 파일을 아래와 같이 감염시킨 후 _DECRYPT_FILE.html, _DECRYPT_FILE.txt 파일로 비트코인을 요구한다 

 

 

[그림 1] 에레보스의 감염화면(_DECRYPT_FILE.html)


해당 랜섬웨어가 요구하는 파일의 몸값은 특정 시간을 기재한 후, 정해진 시간 안에 지불한다면 4비트코인(한화 약 1,328만원), 시간 안에 지불하지 못하면 8비트코인으로 약 2배의 값을 지불해야한다.

 

 

[그림 2] 결제 화면

 

특정 디렉토리를 제외하여 암호화를 수행한다.

 

 

[표 1] 암호화 제외 디렉토리 항목

 
에레보스 랜섬웨어는 433개의 확장자를 대상으로 암호화를 수행한다.


[표 2] 감염 대상 확장자 목록


현재 에레보스 랜섬웨어는 웹호스팅 업체의 각 서비스의 중요 데이터들을 감염시켰고, 홈페이지의 일부가 정상적으로 서비스가 되지 않는 사태가 발생하였다. 현재 많은 웹페이지들이 감염되고 있으므로 사용자 스스로 중요 문서에 대한 백업을 하는 등 국내 사용자들의 각별한 주의가 요구된다.


바이로봇 업데이트 내역

Linux.S.Agent.429144

Linux.S.Agent.8401

Linux.S.Agent.487166

Linux.S.Agent.10631 


※ 랜섬웨어 감염 예방방법  :   http://www.hauri.co.kr/Ransomware/prevention.html



 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top