파일을 암호화하여 금전을 요구하는 수많은 랜섬웨어(Ransomware) 중에서는 잠시 나타났다가 사라지는 경우도 있지만 RaaS(Ransomware-as-a-Service) 형태로 조직적으로 활동하는 범죄 산업으로 장기간 운영되는 경우도 있습니다.
그런데 2017년 6월 10일 새벽 1시경에 국내 웹 호스팅 (주)인터넷나야나 업체가 Erebus Ransomware 공격으로 인하여 일부 서버가 피해를 당해 웹 사이트가 연결되지 않는 피해를 당했다는 공지가 올라왔습니다.
Erebus Ransomware 관련 정보를 찾아보면 2016년 하반기 또는 2017년 2월 초부터 등장하여 다양한 변종이 발견되고 있었으며 당시에는 저렴한 랜섬웨어로 알려져 있었습니다.
이번에 국내 웹 서버에 피해를 준 Erebus Ransomware의 경우에는 기존의 Windows 운영 체제용 랜섬웨어가 아닌 Linux 운영 체제에서 동작하는 변종으로 웹 서버의 DB, 문서, 사진 등의 파일을 암호화하여 웹 사이트 접속 시 "Your documents, photos, databases, important files have been encrypted! If you modify any file, it may cause make you cannot decrypt!!!" 경고(Warning) 메시지를 생성하여 웹 서비스를 이용할 수 없도록 하고 있습니다.
참고로 이번에 유포된 Erebus Ransomware에 의해 암호화된 파일은 <Random 파일명>.ecrypt 형태로 파일이 변경되며, 금전 요구 메시지 파일은 _DECRYPT_FILE.html, _DECRYPT_FILE.txt 파일로 안내하고 있습니다.
결제 페이지(Erebus Decryptor)에서는 영어(English), 에스파냐어(Español), 일본어(Japanese), 중국어(Chinese) 외에 한국어(Korean)까지 지원하고 있으며, 10번의 무료 복호화를 지원하지만 정해진 기간 내에 3,400만원 ~ 1,700만원 상당의 비트코인(Bitcoin) 가상 화폐로 돈을 지불하도록 안내하고 있습니다.
물론 사전에 백업이 꾸준하게 이루어졌다면 복구에 일정 시간을 투자하여 이전 상태로 되돌릴 수 있겠지만, 랜섬웨어 공격으로 인하여 발생하는 시간적, 금전적 손실과 함께 차후 반복적인 공격 대상이 될 수도 있다는 점에서 피해를 받지 않도록 백업과 함께 랜섬웨어 차단 솔루션에 대한 보안 투자도 있어야 할 것으로 보입니다.