2017년에 확장자 명을 변경하지 않는 랜섬웨어로 알려졌던 ‘Hermes(헤르메스)가 국내에 다시 등장했다. 기존과 마찬가지로 여전히 감염된 파일의 확장자를 변경하지 않으며, 아래와 같이 Time Date Stamp 정보로 보아 최근 제작되어 유포 중임을 알 수 있다.

[그림 1] – 최근 유포 된 파일의 Time Date Stamp 정보


최근 유포 중인 Hermes는 악성 행위를 수행하기 전에, 아래 레지스트리를 확인하여 해당 시스템의 언어 국가를 참조하여 특정 국가의 경우 감염에서 제외한다.


확인 레지스트리

확인 값

해당 국가

HKLM\SYSTEM\ControlSet001\Control\Nls\Language\InstallLanguage

0419

러시아

0422

우크라이나

0423

벨라루스






[표 1] – 감염 제외 국가

해당 국가가 아닌 경우 감염 행위를 수행하는데, 자기 자신을 %TEMP% 폴더에 svchosta.exe라는 파일명으로 복사 후 CMD명령을 통해 동작한다.

자기 파일 복사

/C copy /B “[원본파일]” “%Temp%\svchosta.exe”

복사 된 파일 실행

/C start "%Temp%\svchosta.exe”


[표 2] – 자기 파일 복사 및 실행 CMD 명령


복사 된 svhosta.exe가 실행 되면 정상 파일들을 암호화하는데 암호화 대상 조건은 아래와 같다.

암호화 제외 폴더 명

AhnLab, Microsoft, Chrome, Mozilla, Windows, esktop, $Recycle.Bin

암호화 제외 확장자

exe, dll, lnk, ini, hrmlog



[표3] - 암호화 제외 폴더 및 확장자


Hermes는 드라이브를 검색하여 정상 파일을 암호화하며 해당 동작이 완료되면, 볼륨 쉐도우 카피 삭제 명령을 수행하는 bat파일을 생성 및 실행한다.

Bat 파일 생성 경로

Bat 파일 생성 파일명

C:\users\Public

window.bat

[표 4] – 볼륨 쉐도우 카피 삭제 기능을 하는 bat파일

 

생성 된 window.bat는 볼륨 쉐도우 카피 저장 공간을 작게 조정하여 간접적으로 내부 파일들을 삭제되도록 한 후 모든 볼륨 쉐도우 카피 삭제를 수행한다. 또한 아래와 같이 특정 확장자의 백업 파일들까지 삭제하여 사용자의 복구를 힘들게 한다.

[그림 2] – 볼륨 쉐도우 카피 삭제 기능을 하는 bat 파일 내용 (window.bat)


또한 정상 파일 암호화 시, 각 폴더 마다 DECRYPT_INFORMATION.html 명의 랜섬 노트를 생성하며, 복구를 원할 시 비트코인을 요구한다.

[그림 3] – Hermes 랜섬노트 (DECRYPT_INFORMATION.html)


섬웨어의 피해를 최소화하기 위해서 사용자는 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다. 또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.

현재 V3 에서 Hermes 랜섬웨어는 다음 진단명으로 진단하고 있다.

파일 진단 : Trojan/Win32.Hermesran (2018.01.28.08)

- 행위 진단 : Malware/MDP.Ransom.M1171


Posted by 분석팀