자사에서는 금주 동안 악성 문서가 첨부된 메일을 통해 Hermes v2.1과 GandCrab v4 랜섬웨어를 유포 중임을 확인하였다. 문서는 비밀번호를 필요로 하며, 해당 비밀번호는 아래와 같이 메일에 명시 되어있다



[그림1] – 악성 문서가 첨부 된 메일


비밀번호 입력 후 문서가 열리면 매크로를 활성화 하라는 내용을 확인 할 수 있다.



[그림2] – 암호 입력을 필요로 하는 악성 문서



[그림3] – 매크로 활성화 유도하는 문서 내용



매크로가 활성화되면 특정 네트워크에 접속하여 랜섬웨어를 다운로드 후 실행한다.


다운로드 URL

http://2*5.**5.*1*.*2/default.exe

파일 저장 경로 및 이름

%temp%\qwerty2.exe


[ 1] – 랜섬웨어 유포 주소 및 저장 경로명



흥미로운 점은 74일까지는 해당 URL에서 Hermes v2.1을 유포하는 반면, 오늘75일에는 동일 URL에서 GandCrab v4를 유포 중이다. 따라서 해당 문서 실행 시 어제까지는 Hermes v.2.1이 다운로드 되서 실행 된 반면 오늘은 GandCrab v4에 감염 될 수 있다. 또한 두 종류의 랜섬웨어는 동일한 파일 설명, 제품 이름 및 중국어를 언어로 사용하는 등의 유사한 버전 정보를 사용하고 있다.



[그림 4] – 유사 버전 정보 (: GandCrab v4, : Hermes v2.1)


위의 내용과 같이 동일한 URL에서 유포되고 버전 정보가 매우 유사한 점으로 보아 두 랜섬웨어의 제작자가 동일 할 것으로 추정된다.


해당 문서는 아래와 같은 파일명으로서 이력서로 위장하여 유포되므로 첨부 파일로 전송 받은 문서 실행 시 주의가 필요하다.


 

유포 중인 문서 이름 일부

Danial’s Resume.doc

Maire’s Resume.doc

Fiona’s Resume.doc

Alissa's Resume.doc


[ 2] – 유포 중 문서 이름 일부



안랩 제품에서는 위와 같은 문서 및 랜섬웨어를 아래와 같이 진단하고 있다.


문서

파일 진단명

W97M/Downloader (2018.06.30.00)

랜섬웨어

실행파일

파일 진단명

Trojan/Win32.Hermesran (2018.06.30.00)

Trojan/Win32.Gandcrab (2018.07.05.05)

행위 진단명

Malware/MDP.Ransom.M1171


[ 3] – 진단명

Posted by 분석팀