꿈을꾸는 파랑새

Erebus Ransomware(에레버스 랜섬웨어는 일단 기본적으로 윈도우에 있는 보안 기능인 UAC 바이 패스를 사용하여 UAC 프롬프트를 표시하지 않고 최고 권한으로 허용을 가능하게 설계된 랜섬웨어 입니다. 즉 Erebus Ransomware(에레버스 랜섬웨어는 기본적으로 MSC 파일 연결을 하이재킹통한 UAC 우회할 수 있는 기능을 가지고 있습니다.
Erebus Ransomware(에레버스 랜섬웨어 감염이 되어서 설치가 되면 설치 관리자가 실행되면 윈도우 보안 기능 중 하나인 UAC(User Account Control) 우회 방법을 사용하여 컴퓨터 사용자보다 더 높은 권한을 획득합니다. 그리고 같은 폴더에 있는 임의의 이름이 지정된 파일에 자신을 복사하기를 진행합니다. 그리고 난 다음 Windows 레지스트리를 수정하여 .msc 파일 확장명에 대한 연결 통해서 하이재킹을 통한 마음대로 지정된  Erebus가 대신 실행되도록 구성이 돼 있습니다. 그리고 레스지스터리에서는 아래와 같이 변경을 합니다.
HKEY_CLASSES_ROOT\.msc
HKCU\Software\Classes\mscfile
HKCU\Software\Classes\mscfile\shell
HKCU\Software\Classes\mscfile\shell\open
HKCU\Software\Classes\mscfile\shell\open\command
HKCU\Software\Classes\mscfile\shell\open\command\ %UserProfile%\[무작위].exe
그리고 피해를 입은 사용자에게 맞춤 서비스를 제공하기 위해서
IP 주소와 국가를 확인하기 위해 http://ipecho.net/plain 및 http://ipinfo.io/country에 연결시도를 합니다. 그런 다음 TOR 클라이언트를 자동으로 내려받기가 됩니다.
그리고 컴퓨터에서 아래의 파일들이 있는지 검색을 합니다.

.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx
그리고 암호화 방식은 AES 방식을 사용합니다. 그리고 ROT-23을 이용해서 확장자를 암호화합니다. 그리고 확장자는 ROT-23을 사용하여 확장자를 암호화합니다. 그리고 확장자명.msj으로 변경을 합니다..
그리고 사용자 컴퓨터에서 Windows 볼륨 섀도 복사본이 있는지 확인을 합니다. 즉 사용자가 새도우 익스플러워 같은 프로그램을 통해서 복구하는 것을 방지하기 위해서 Windows 볼륨 섀도 복사본을 지워 버리는 명령어를 수행합니다.
cmd.exe /C vssadmin delete shadows /all /quiet && exit
그리고 나서 몸값을 받아내기 위해서 사용자 바탕 화면에 README.HTML이라는 것이 생성되고 몸값을 받아내기 위한 고유 IID, 암호화된 파일 목록 및 TOR 지불 사이트로 이동하는 버튼이 포함해줍니다.
그리고 사용자에게 당신의 파일은 암호화가 진행되었다는 것을 바탕화면에 표시해줍니다. 그리고 암호화 작업을 하려고 감염이 된 컴퓨터에 남는 파일목록들은 다음과 같습니다.
%UserProfile%\AppData\Local\Temp\tor\ %UserProfile%\AppData\Local\Temp\tor\Data\ %UserProfile%\AppData\Local\Temp\tor\Data\Tor\ %UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip %UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip6 %UserProfile%\AppData\Local\Temp\tor\Tor\ %UserProfile%\AppData\Local\Temp\tor\Tor\libeay32.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libevent-2-0-5.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libevent_core-2-0-5.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libevent_extra-2-0-5.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libgcc_s_sjlj-1.dll %UserProfile%\AppData\Local\Temp\tor\Tor\libssp-0.dll %UserProfile%\AppData\Local\Temp\tor\Tor\ssleay32.dll %UserProfile%\AppData\Local\Temp\tor\Tor\tor-gencert.exe %UserProfile%\AppData\Local\Temp\tor\Tor\tor.exe %UserProfile%\AppData\Local\Temp\tor\Tor\zlib1.dll %UserProfile%\AppData\Local\Temp\tor.zip %UserProfile%\AppData\Roaming\tor\ %UserProfile%\AppData\Roaming\tor\cached-certs %UserProfile%\AppData\Roaming\tor\cached-microdesc-consensus %UserProfile%\AppData\Roaming\tor\cached-microdescs.new %UserProfile%\AppData\Roaming\tor\lock %UserProfile%\AppData\Roaming\tor\state %UserProfile%\Desktop\test\xor-test.pdf %UserProfile%\Desktop\README.html %UserProfile%\Documents\README.html %UserProfile%\[랜덤].exe
네트워크는 통신인 다음과 같이 수행을 진행합니다.
http://erebus5743lnq6db.onion/
그리고 이런 종류의 악성코드에 감염되기 전에 미리 조금은 귀찮더라도 윈도우 업데이트에서 윈도우 업데이트 하라고 하면 기본적으로 시간을 내어서 반드시 진행이 돼야 하면 기본적으로 브라우저도 최신 업데이트 유지, Adobe Flash Player, Java(사용하는 분들만), 소프트웨어 최신 업데이트 유지, 백신프로그램 사용 실시간 감시 및 최신 갱신, 어둠의 경로는 자제해야지 이런 악성코드에 감염되는 것을 최소화할 수가 있으며 물론 윈도우 같은 경우 Windows XP같이 지원이 끝난 운영체제를 사용하고 있어서는 안 될 것입니다.
Windows XP, Windows Vista(2017년4월11일 연장 지원 종료)를 사용을 하고 있으면 Windows 7(2020년1월14일 연장 지원 종료 예정),Windows 8. Windows 10으로 업데이트를 권장을 합니다.
즉 아무리 기본적으로 백신프로그램을 설치한다고 해도 윈도우 기술지원이 안 되면 이런 악성코드에 감염될 확률은 높습니다. 그리고 외장하드디스크에 백업프로그램을 이용한 백업을 이용하면 나중에 유용하게 사용을 할 수가 있을 것입니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band