라이선스

저렴한 복구 비용을 요구하는 '에레보스' 랜섬웨어

1,235    2017-04-07


개요  

랜섬웨어의 인한 PC의 악성코드 감염은 계속되고 있으며, 복구 비용은 지속적으로 오르고 있으며 그로 인하여 비트코인 시장까지 활성화되어 1년 동안 비트코인의 가치는 2배 정도 뛰어넘었습니다.


이번에 국내의 등장한 Erebus 랜섬웨어는 10만원 상당의 저렴한 복구 비용을 요구해 “저가형 랜섬웨어”로 불리고 있습니다. 

이에 따라 해당 랜섬웨어의 동작 방식 및 대응 방안을 안내드리고자 합니다.



감염 증상

· PC내 문서 파일 암호화

· 파일명 변조 및 확장자 변경

· 볼륨 쉐도우의 복사본을 삭제하여 윈도우 복원 불가능

· 복구 시 악성코드 파일 완벽히 제거 필요 (UAC 우회 기법을 통해 재 감염됨)



동작 방식 


  

· 윈도우의 이벤트 뷰어를 이용한 사용자 계정 제어 보안(UAC) 기능 우회 기법 활용

· 레지스트리를 수정하여 “*.msc” 확장자명에 대한 연결을 탈취

· 이벤트 뷰어의 권한을 따라 실행되기 때문에 사용자 모르게 실행됨

· 감염 화면에서 감염자의 IP와 국가를 알아내 익명 브라우저 클라이언트를 다운받아 명령제어에 사용 (여러 IP를 경유하여 추적 어려움)



감염 화면    


▶ 출처: 데일리  



대응 방안

관리자의 업무 증가 없이 자동화 규칙 운영이 가능한 화이트리스트 기반 차단 솔루션 도입으로  exe, DLL(Scripts), Active X 등 신종/변종 비인가 프로세스 사전 예방


※ iMONLOPE (랜섬웨어 대응 솔루션) 문의하기



댓글 : 0