최근 소개 된 것과 같이 변형 된 Hermes 랜섬웨어가 국내에 유포 중이다. 특이한 점은 이 Hermes가 자사 AhnLab을 타겟으로 한 정황이 포착되었다. Hermes는 시스템의 특정 폴더와 파일을 암호화에서 제외하는데 이 제외 폴더 목록에 'AhnLab'을 포함하고 있다. 이는 V3 기능 중 자사 제품 설치 폴더의 파일이 암호화 될 경우 자체 보호 기능에 의해 사용자가 인지할 수 있도록 하는 부분을 우회하기 위한 것으로 추정된다.
자사의 제품을 설치 할 시 Program Files 경로에 AhnLab이라는 폴더가 생성되는데, Hermes는 폴더명에 AhnLab이 포함 될 경우 암호화 대상에서 제외한다. 이는 과거 2017년 초의 Hermes에서는 없었던 것으로 최근의 변형에 반영되었다.
2017년 초의 Hermes와의 공통점 및 차이점은 아래와 같다.
[표] - Hermes 랜섬웨어 초기 버전과 최근 버전의 공통 및 차이점
랜섬웨어의 피해를 최소화하기 위해서 사용자는 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다. 또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.
현재 V3 에서 Hermes 랜섬웨어는 다음 진단명으로 진단하고 있다.
- 파일 진단 : Trojan/Win32.Hermesran, Trojan/Win32.RansomHermes
- 행위 진단 : Malware/MDP.Ransom.M1171
'악성코드 정보' 카테고리의 다른 글
| Magniber 랜섬웨어 파일 생성방식의 변화 (파일은폐) (0) | 2018.02.07 |
|---|---|
| 포털사이트 자동 글 업로드/블로그 조회수 조작 유해 프로그램 (0) | 2018.02.01 |
| Hermes 랜섬웨어의 재등장 (0) | 2018.01.29 |
| WSF 파일 형태로 유포되는 APT 공격 주의 (0) | 2018.01.23 |
| 웹 브라우저를 통해 마이닝 동작하는 악성코드 (0) | 2018.01.17 |
댓글