"10만원 내면 풀어줄게"... UAC 보안기능 우회하는 에레보스 랜섬웨어 감염 주의

글자 작게 글자 크게 인쇄하기

하우리(대표 김희천)는 복구비용으로 10만원을 요구하는 에레보스 랜섬웨어가 발견됐다고 17일 밝혔다.

에레보스 랜섬웨어 감염 안내 화면(자료:하우리)
<에레보스 랜섬웨어 감염 안내 화면(자료:하우리)>

에레보스 랜섬웨어는 윈도 이벤트 뷰어를 이용해 `사용자 계정 제어(UAC) 보안 기능`을 우회한다. PC에서 상승된 권한으로 실행돼 레지스트리를 수정한다. `.msc`에 대한 연결을 가로채 상승모드에서 실행된 이벤트 뷰어 권한을 따라 실행된다.

스스로 익명 브라우저인 `토르(Tor)` 클라이언트를 다운받아 네트워크 통신에 사용한다. 사용자 PC에 존재하는 70여개 확장자 관련 파일을 암호화한다. 암호화 과정에서 볼륨 쉐도우 복사본을 지워 복구 지점을 없앤다. 복호화 비용으로는 10만원 상당의 0,085 비트코인을 요구한다.

파일 복호화 이후 랜섬웨어 악성코드 파일까지 완전히 제거해야 한다.

김동준 하우리 보안연구팀 연구원은 “기존 랜섬웨어보다 저렴한 가격을 제시해 감염 피해자가 복구비용을 지불하도록 유도 한다”고 말했다.

박정은기자 jepark@etnews.com