본문 바로가기
악성코드 정보

AhnLab 폴더를 암호화하지 않는 Hermes 랜섬웨어

by 분석팀 2018. 1. 31.

최근 소개 된 것과 같이 변형 된 Hermes 랜섬웨어가 국내에 유포 중이다. 특이한 점은 이 Hermes가 자사 AhnLab을 타겟으로 한 정황이 포착되었다. Hermes는 시스템의 특정 폴더와 파일을 암호화에서 제외하는데 이 제외 폴더 목록에 'AhnLab'을 포함하고 있다. 이는 V3 기능 중 자사 제품 설치 폴더의 파일이 암호화 될 경우 자체 보호 기능에 의해 사용자가 인지할 수 있도록 하는 부분을 우회하기 위한 것으로 추정된다.


자사의 제품을 설치 할 시 Program Files 경로에 AhnLab이라는 폴더가 생성되는데, Hermes는 폴더명에 AhnLab이 포함 될 경우 암호화 대상에서 제외한다. 이는 과거 2017년 초의 Hermes에서는 없었던 것으로 최근의 변형에 반영되었다.


2017년 초의 Hermes와의 공통점 및 차이점은 아래와 같다.

[표] - Hermes 랜섬웨어 초기 버전과 최근 버전의 공통 및 차이점


섬웨어의 피해를 최소화하기 위해서 사용자는 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.

현재 V3 에서 Hermes 랜섬웨어는 다음 진단명으로 진단하고 있다.

파일 진단 : Trojan/Win32.Hermesran, Trojan/Win32.RansomHermes

행위 진단 : Malware/MDP.Ransom.M1171



댓글