나무모에 미러 (일반/어두운 화면)
최근 수정 시각 : 2024-11-20 00:33:26

Cerber

케르베르에서 넘어옴
1. 개요 및 특징
1.1. 버전 분류: 확장자1.2. 버전 분류: 바탕 화면
2. 감염경로3. 방어 및 복호화4. 랜섬웨어 유포 조직 검거
4.1. 복호화 툴이 나올 가능성
5. 후속 랜섬웨어 Magniber

1. 개요 및 특징

파일:cerber-ransomware.png

Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!(×5)
주의! 주의! 주의! 당신의 문서, 사진, 데이터베이스와 다른 중요한 파일들이 암호화되었습니다!(×5)[1]
해당 랜섬웨어 감염시 나오는 목소리
케르베르 랜섬웨어

문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다!

파일의 암호를 해독하는 유일한 방법은 개인 키와 암호 해독 프로그램을 받는 것입니다.

개인 키 및 암호 해독 프로그램을 받으려면 암호 해독된 폴더로 이동합니다.
파일 암호 해독 방법에 대한 전체 지침이 포함된 특수 파일 (* "파일 이름" *) 이 있습니다.[A]

PC에서 (* "파일 이름" *) 파일을 찾을 수 없는 경우 아래 지침을 따르십시오:[A]

1. https://www.torproject.org/ 에서 "Tor Browser"를 다운로드하여 설치합니다.
2. "Tor Browser"에서 여기서 개인 페이지를 엽니다:

http://(주소).onion/XXXX-XXXX-XXXX-XXXX-XXXX[B]

참고! 이 페이지는 "Tor Browser"를 통해서만 사용할 수 있습니다.
케르베르 랜섬웨어의 "랜섬노트"[5] 번역본.
랜섬웨어(Ransomware)의 일종으로 '케르베르' 또는 '세르베르'라고 읽는다. 2016년 3월에 등장해 CERBER1 - CERBER2 - CERBER3 - CERBER4.0.1 - CERBER5.0.1 - CERBER6.0.1 - CRBR 의 진화 과정을 거치면서 수많은 피해자를 양산했다. 2017년 5월에 세간을 떠들썩하게 했던 워너크라이 랜섬웨어보다 훨씬 많은 피해를 입혔다. 이 바이러스에 감염이 되면, 컴퓨터를 통해 소리를 내서 감염 사실을 알린다. 이때문에 인터넷 상에서 '말하는 랜섬웨어'라는 별명도 있다. 이름의 유래는 지옥을 지키는 개 혹은 머리가 셋에 꼬리는 뱀 모양을 뜻하는 케르베로스(Cerberus)에서 유래했다.

1.1. 버전 분류: 확장자

확장자
CERBER1 '.cerber'
CERBER2 '.cerber2'
CERBER3 '.cerber3'
CERBER4.0.1 이상
& CRBR
'.무작위 숫자+영문자를 포함한 4글자'[6]

1.2. 버전 분류: 바탕 화면[7]

바탕화면 색상 협박 문구 색상 적용 버전 비고
그린 버전 회색[8] 초록색 CERBER1 ~ CERBER5.0.1 바탕화면 색상에
협박 문구 색상의 문구로
돈을 내라고 협박한다.
레드 버전 빨간색 CERBER 6.0.1 이상

2. 감염경로

이 랜섬웨어는 대부분 인터넷 서핑을 통해 감염되는 것으로 알려졌으며, 일부는 메일에 의해서도 감염된다. P2P를 통해서도 감염이 되고 애드웨어 광고창을 닫지 않아서 생길 수도 있다.

컴퓨터 본체 갤러리에서 소위 '컴갤빌런'으로 박제된 사례 중에 PC방 아르바이트를 하던 도중 심심해서 공튀기기를 받았는데 창이 다 꺼지더니 컴퓨터가 이상해졌다며 사진을 한 장 올린 글이 있는데 바로 이 랜섬웨어에 감염된 사진이다. 너무나도 유명한 게임이다보니 여러 곳에서 배포되고 있는데 그 중 이 랜섬웨어가 묻어온 파일을 받았던 것으로 추정된다. 협박 문구 색상이 붉은색인 것으로 보아 애석하게도(?) 해당 버전은 복호화 툴이 없다. #

3. 방어 및 복호화

앱체크, 알약, V3등의 백신으로 방어할 수 있으나, 만약 방어에 실패할 시 치명적인 피해가 일어난다. 감염되는 즉시 컴퓨터 안에 있는 모든 문서, 사진, html파일 등이 전부 암호화되며, 복호화를 위해 돈 (비트코인)을 요구하는 바이러스이다. 현재로서는 암호의 경우의 수가 무한대에 가까워 해커에게 비트코인을 지불하는 방법 외에는 복호화가 불가능하다. 하지만 해커에게 비트코인을 지불해도 100% 복호화된다고는 장담할 수 없다.

현재 CERBER1만 복호화 툴이 배포된 상태이다.

4. 랜섬웨어 유포 조직 검거

Cerber와 CTB Locker 랜섬웨어의 "유포" 조직이 2017년 12월 19일(현지시각), 루마니아에서 검거되었다. 뉴스 링크 영상 링크

다음은 뉴스 링크의 해석 내용 전문이다.
[ 펼치기 · 접기 ]
>[ 루마니아 경찰, CTB Locker와 Cerber 랜섬웨어 유포 혐의로 5명 체포 ]

루마니아 경찰은 최근 몇 년 동안 두 개의 악명 높은 랜섬웨어 제품군인 Cerber와 CTB Locker를 확산[9]시켜 수만 대의 컴퓨터를 감염시킨 혐의를 받고 있는 다섯 명의 개인을 체포했다.
유로폴[10]이 실시한 주요 글로벌 경찰 작전인 바코비아 작전(Operation Bakovia)에 따라 FBI와 루마니아, 네덜란드, 영국의 법 집행기관이 동(東)루마니아에 있는 주택 6채를 압류하고 5명을 체포했다고 유로폴이 19일(현지시간) 밝혔다.
당국은 이번 압수수색에서 상당량의 하드 드라이브, 외장 스토리지, 노트북, 암호채굴 장치, 수많은 문서, 수백 개의 SIM 카드를 압수했다.
한 가지 주목할 점은 다섯 명의 용의자들 모두가 악명 높은 랜섬웨어 변종을 개발하거나 유지한 것이 아니라, CTB Locker와 Cerber를 퍼뜨린 혐의를 받고 있다는 점이다.[11]

CryptoLocker를 기반으로 한 CTB Locker는 2016년 가장 널리 보급된 랜섬웨어 제품군로, Tor 익명화 네트워크[12]를 이용해 명령과 제어 서버를 숨긴 최초의 랜섬웨어였다.
2016년 3월 등장한 Cerber 랜섬웨어는 랜섬웨어 서비스화(RaaS)[13] 모델로 활동하며, 이를 통해 해커가 될 사람이면 몸값의 40%를 받는 대가로 악성코드를 퍼뜨릴 수 있다.

CTB Locker는 범죄자들이 몸값으로 2,700만 달러를 벌 수 있도록 도운 반면, Cerber는 구글에 의해 2017년 7월에 690만 달러를 벌어들인 가장 범죄 수익성이 높은 랜섬웨어로 선정되었다.
대부분의 랜섬웨어와 마찬가지로, CTB Locker와 Cerber 유통업체들은 피싱 이메일이나 키트 같은 가장 일반적인 공격 벡터를 사용하고 있었다.

유로폴은 보도자료를 통해 "2017년 초 루마니아 당국이 네덜란드 고등기술범죄수사단[14] 등으로부터 루마니아 국적자들이 스팸메일을 보내는 데 개입했다는 상세한 정보를 입수했다"고 밝혔다.
"이 스팸 메시지는 컴퓨터 시스템을 감염시키고 크라이트로니(Critroni)로도 알려진 CTB-Locker 랜섬웨어를 통해 데이터를 암호화하려는 의도였다. 각 이메일에는 첨부 파일이 있었는데, 종종 보관된 송장의 형태로 악의적인 파일이 들어 있었다. 이 첨부 파일이 윈도우즈 시스템에서 열리면 멀웨어는 감염된 장치에서 파일을 암호화한다."
당국은 아직 체포된 사람들의 실제 신원을 공개하지 않았지만, 유로폴은 체포된 사람들의 모습을 담은 극적인 영상을 공개했는데, 그곳에서 무장한 경찰관들이 용의자들의 거주지를 습격하는 장면을 볼 수 있다.
[ 원문 내용 펼치기 · 접기 ]
>[ Romanian Police Arrest 5 People for Spreading CTB Locker and Cerber Ransomware ]

Romanian police have arrested five individuals suspected of infecting tens of thousands of computers across Europe and the United States in recent years by spreading two infamous ransomware families—Cerber and CTB Locker.
Under Operation Bakovia—a major global police operation conducted by Europol, the FBI and law enforcement agencies from Romanian, Dutch, and the UK—raided six houses in East Romania and made five arrests, Europol said on Wednesday.
Authorities have seized a significant amount of hard drives, external storage, laptops, cryptocurrency mining devices, numerous documents and hundreds of SIM cards during the raid.
One thing to note is that all of the five suspects were not arrested for developing or maintaining the infamous ransomware strains, but for allegedly spreading CTB Locker and Cerber.

Based on CryptoLocker, CTB Locker, aka Critroni, was the most widely spread ransomware families in 2016 and was the first ransomware to use the Tor anonymizing network to hide its command and control servers.
Emerged in March 2016, Cerber ransomware works on ransomware-as-a-service (RaaS) model that helped it to gain widespread distribution, allowing any would-be hacker to spread the malware in exchange for 40% of each ransom amount paid.

While CTB Locker helped criminals made $27 million in ransom, Cerber was ranked by Google as the most criminally profitable ransomware that helped them earned $6.9 million up in July 2017.
As with most ransomware, CTB Locker and Cerber distributors were using the most common attack vectors, such as phishing emails and exploit kits.

"In early 2017, the Romanian authorities received detailed information from the Dutch High Tech Crime Unit and other authorities that a group of Romanian nationals was involved in sending spam messages," Europol said in its press release.
"The spam messages intended to infect computer systems and encrypt their data with the CTB-Locker ransomware aka Critroni. Each email had an attachment, often in the form of an archived invoice, which contained a malicious file. Once this attachment was opened on a Windows system, the malware encrypted files on the infected device."
Although the authorities did not release the actual identities of the arrested individuals yet, Europol released a dramatic video of the arrests, where you can see how armed officers stormed the suspects' residence.

Cerber 랜섬웨어는 현재 사실상 활동을 종료했다고 보는게 맞지만, 현재에도 배포되고 있는 랜섬웨어 악성 프로그램이 있으니 막상 안심할 수는 없는 상황이다.[15]

4.1. 복호화 툴이 나올 가능성

유포 조직이 검거되었다는거지, 랜섬웨어 또는 그 변종을 개발하거나 유지한 개발자들이 아니어서, 2017년 검거 이후에도 현재 공개된 랜섬웨어 복호화 툴은 CERBER1이 끝이며, 추후 복호화 툴이 공개될 가능성은 현재로선 거의 없다.

관련 개발자가 잡힐 가능성이 없진 않으나, 이 역시 현재로선 기대하기 어려운 현실이다.

덧붙이자면 Cerber 랜섬웨어 자체가 워낙 암호화 체계가 복잡해, 랜섬웨어가 걸린 직후의 그 시스템 상태 그대로 복호화를 해야하는데, 중간에 일부만 백업했다가 그것만 복호화하면 거의 가능성이 없다고 한다.

5. 후속 랜섬웨어 Magniber

사실상 Cerber의 후속 랜섬웨어는 'Magniber'(매그니베르) 랜섬웨어로, 2019년 현재 여러 사이트에서 보안 취약점을 이용하여 감염 사례가 빈번히 보고되고 있는 상황이다. 주로 윈도우 보안 취약점, IE 취약점 등으로 감염되므로 되도록 Chrome 등의 보안이 우수한 브라우저를 이용하고, 윈도우 업데이트를 빠짐없이 설치해야 한다.


[1] 5번 그 목소리가 반복으로 나온다는 소리다. 좀 성능이 좋지 않은 TTS를 사용했는지 말투가 상당히 부자연스럽다.[A] 케르베르에 걸릴 때 마다 파일 이름이 바뀐다.[A] 케르베르에 걸릴 때 마다 파일 이름이 바뀐다.[B] 케르베르에 걸릴때 마다 주소가 바뀌는데 도메인 주소는 onion이다.[5] 랜섬노트는 랜섬웨어에 감염 후 파일, 배경화면 등 컴퓨터에 나타나는 '안내문'이며 무슨일이 일어난건지, 어떻게 복구하는지, 몸값을 요구하거나 지불하는 법을 알려준다.[6] 예시) '.A42S'[7] 그냥 사람들이 Cerber 랜섬웨어 걸렸을 때 뜨는 컴퓨터 바탕 화면 색깔에 따라 이름을 붙인 것이다.[8] 무지개색 점이 섞여있다.[9] 개발자가 아니다.[10] Europol(European police force), 유럽 경찰 조직[11] 개발자가 아니라 단순 유포자란 점에 유의해야한다.[12] Tor anonymizing network[13] Ransomware-as-a-Service[14] The Dutch High Tech Crime Unit(아마 NHTCU)[15] 후속격인 Magniber(메그니베르) 랜섬웨어가 유포되고 있기도 하기 때문이다.

분류