본문 바로가기

악성코드 정보

동일 URL에서 유포되는 Hermes v2.1과 GandCrab v4 랜섬웨어

자사에서는 금주 동안 악성 문서가 첨부된 메일을 통해 Hermes v2.1과 GandCrab v4 랜섬웨어를 유포 중임을 확인하였다. 문서는 비밀번호를 필요로 하며, 해당 비밀번호는 아래와 같이 메일에 명시 되어있다



[그림1] – 악성 문서가 첨부 된 메일


비밀번호 입력 후 문서가 열리면 매크로를 활성화 하라는 내용을 확인 할 수 있다.



[그림2] – 암호 입력을 필요로 하는 악성 문서



[그림3] – 매크로 활성화 유도하는 문서 내용



매크로가 활성화되면 특정 네트워크에 접속하여 랜섬웨어를 다운로드 후 실행한다.


다운로드 URL

http://2*5.**5.*1*.*2/default.exe

파일 저장 경로 및 이름

%temp%\qwerty2.exe


[ 1] – 랜섬웨어 유포 주소 및 저장 경로명



흥미로운 점은 74일까지는 해당 URL에서 Hermes v2.1을 유포하는 반면, 오늘75일에는 동일 URL에서 GandCrab v4를 유포 중이다. 따라서 해당 문서 실행 시 어제까지는 Hermes v.2.1이 다운로드 되서 실행 된 반면 오늘은 GandCrab v4에 감염 될 수 있다. 또한 두 종류의 랜섬웨어는 동일한 파일 설명, 제품 이름 및 중국어를 언어로 사용하는 등의 유사한 버전 정보를 사용하고 있다.



[그림 4] – 유사 버전 정보 (: GandCrab v4, : Hermes v2.1)


위의 내용과 같이 동일한 URL에서 유포되고 버전 정보가 매우 유사한 점으로 보아 두 랜섬웨어의 제작자가 동일 할 것으로 추정된다.


해당 문서는 아래와 같은 파일명으로서 이력서로 위장하여 유포되므로 첨부 파일로 전송 받은 문서 실행 시 주의가 필요하다.


 

유포 중인 문서 이름 일부

Danial’s Resume.doc

Maire’s Resume.doc

Fiona’s Resume.doc

Alissa's Resume.doc


[ 2] – 유포 중 문서 이름 일부



안랩 제품에서는 위와 같은 문서 및 랜섬웨어를 아래와 같이 진단하고 있다.


문서

파일 진단명

W97M/Downloader (2018.06.30.00)

랜섬웨어

실행파일

파일 진단명

Trojan/Win32.Hermesran (2018.06.30.00)

Trojan/Win32.Gandcrab (2018.07.05.05)

행위 진단명

Malware/MDP.Ransom.M1171


[ 3] – 진단명