Hermes 랜섬웨어의 재등장

2017년에 확장자 명을 변경하지 않는 랜섬웨어로 알려졌던 ‘Hermes(헤르메스)가 국내에 다시 등장했다. 기존과 마찬가지로 여전히 감염된 파일의 확장자를 변경하지 않으며, 아래와 같이 Time Date Stamp 정보로 보아 최근 제작되어 유포 중임을 알 수 있다.

[그림 1] – 최근 유포 된 파일의 Time Date Stamp 정보


최근 유포 중인 Hermes는 악성 행위를 수행하기 전에, 아래 레지스트리를 확인하여 해당 시스템의 언어 국가를 참조하여 특정 국가의 경우 감염에서 제외한다.

확인 레지스트리

확인 값

해당 국가

HKLMSYSTEMControlSet001ControlNlsLanguageInstallLanguage

0419

러시아

0422

우크라이나

0423

벨라루스






[표 1] – 감염 제외 국가

해당 국가가 아닌 경우 감염 행위를 수행하는데, 자기 자신을 %TEMP% 폴더에 svchosta.exe라는 파일명으로 복사 후 CMD명령을 통해 동작한다.

자기 파일 복사

/C copy /B “[원본파일]” “%Temp%svchosta.exe”

복사 된 파일 실행

/C start “%Temp%svchosta.exe”


[표 2] – 자기 파일 복사 및 실행 CMD 명령

복사 된 svhosta.exe가 실행 되면 정상 파일들을 암호화하는데 암호화 대상 조건은 아래와 같다.

암호화 제외 폴더 명

AhnLab, Microsoft, Chrome, Mozilla, Windows, esktop, $Recycle.Bin

암호화 제외 확장자

exe, dll, lnk, ini, hrmlog

[표3] – 암호화 제외 폴더 및 확장자


Hermes는 드라이브를 검색하여 정상 파일을 암호화하며 해당 동작이 완료되면, 볼륨 쉐도우 카피 삭제 명령을 수행하는 bat파일을 생성 및 실행한다.

Bat 파일 생성 경로

Bat 파일 생성 파일명

C:usersPublic

window.bat

[표 4] – 볼륨 쉐도우 카피 삭제 기능을 하는 bat파일

 

생성 된 window.bat는 볼륨 쉐도우 카피 저장 공간을 작게 조정하여 간접적으로 내부 파일들을 삭제되도록 한 후 모든 볼륨 쉐도우 카피 삭제를 수행한다. 또한 아래와 같이 특정 확장자의 백업 파일들까지 삭제하여 사용자의 복구를 힘들게 한다.

[그림 2] – 볼륨 쉐도우 카피 삭제 기능을 하는 bat 파일 내용 (window.bat)


또한 정상 파일 암호화 시, 각 폴더 마다 DECRYPT_INFORMATION.html 명의 랜섬 노트를 생성하며, 복구를 원할 시 비트코인을 요구한다.

[그림 3] – Hermes 랜섬노트 (DECRYPT_INFORMATION.html)


섬웨어의 피해를 최소화하기 위해서 사용자는 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다. 또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.

현재 V3 에서 Hermes 랜섬웨어는 다음 진단명으로 진단하고 있다.

– 파일 진단 : Trojan/Win32.Hermesran (2018.01.28.08)

행위 진단 : Malware/MDP.Ransom.M1171


Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments