2017년에 확장자 명을 변경하지 않는 랜섬웨어로 알려졌던 ‘Hermes(헤르메스)’가 국내에 다시 등장했다. 기존과 마찬가지로 여전히 감염된 파일의 확장자를 변경하지 않으며, 아래와 같이 Time Date Stamp 정보로 보아 최근 제작되어 유포 중임을 알 수 있다.
[그림 1] – 최근 유포 된 파일의 Time Date Stamp 정보
최근 유포 중인 Hermes는 악성 행위를 수행하기 전에, 아래 레지스트리를 확인하여 해당 시스템의 언어 국가를 참조하여 특정 국가의 경우 감염에서 제외한다.
|
확인 레지스트리 |
확인 값 |
해당 국가 |
|
HKLM\SYSTEM\ControlSet001\Control\Nls\Language\InstallLanguage |
0419 |
러시아 |
|
0422 |
우크라이나 |
|
|
0423 |
벨라루스 |
|
자기 파일 복사 |
/C copy /B “[원본파일]” “%Temp%\svchosta.exe” |
|
복사 된 파일 실행 |
/C start "%Temp%\svchosta.exe” |
[표 2] – 자기 파일 복사 및 실행 CMD 명령
복사 된 svhosta.exe가 실행 되면 정상 파일들을 암호화하는데 암호화 대상 조건은 아래와 같다.
|
암호화 제외 폴더 명 |
AhnLab, Microsoft, Chrome, Mozilla, Windows, esktop, $Recycle.Bin |
|
암호화 제외 확장자 |
exe, dll, lnk, ini, hrmlog |
[표3] - 암호화 제외 폴더 및 확장자
Hermes는 드라이브를 검색하여 정상 파일을 암호화하며 해당 동작이 완료되면, 볼륨 쉐도우 카피 삭제 명령을 수행하는 bat파일을 생성 및 실행한다.
|
Bat 파일 생성 경로 |
Bat 파일 생성 파일명 |
|
C:\users\Public |
window.bat |
[표 4] – 볼륨 쉐도우 카피 삭제 기능을 하는 bat파일
생성 된 window.bat는 볼륨 쉐도우 카피 저장 공간을 작게 조정하여 간접적으로 내부 파일들을 삭제되도록 한 후 모든 볼륨 쉐도우 카피 삭제를 수행한다. 또한 아래와 같이 특정 확장자의 백업 파일들까지 삭제하여 사용자의 복구를 힘들게 한다.
[그림 2] – 볼륨 쉐도우 카피 삭제 기능을 하는 bat 파일 내용 (window.bat)
또한 정상 파일 암호화 시, 각 폴더 마다 DECRYPT_INFORMATION.html 명의 랜섬 노트를 생성하며, 복구를 원할 시 비트코인을 요구한다.
[그림 3] – Hermes 랜섬노트 (DECRYPT_INFORMATION.html)
랜섬웨어의 피해를 최소화하기 위해서 사용자는 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다. 또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.
현재 V3 에서 Hermes 랜섬웨어는 다음 진단명으로 진단하고 있다.
- 파일 진단 : Trojan/Win32.Hermesran (2018.01.28.08)
- 행위 진단 : Malware/MDP.Ransom.M1171'악성코드 정보' 카테고리의 다른 글
| 포털사이트 자동 글 업로드/블로그 조회수 조작 유해 프로그램 (0) | 2018.02.01 |
|---|---|
| AhnLab 폴더를 암호화하지 않는 Hermes 랜섬웨어 (0) | 2018.01.31 |
| WSF 파일 형태로 유포되는 APT 공격 주의 (0) | 2018.01.23 |
| 웹 브라우저를 통해 마이닝 동작하는 악성코드 (0) | 2018.01.17 |
| 랜섬웨어에서 비트코인 실행으로 변경된 LNK(바로가기)파일 주의 (0) | 2018.01.12 |
댓글