Hermes 랜섬웨어 변종 출현!, 초기 버전부터 변화과정


1. 개요 


최근 랜섬웨어에 대한 피해 사례가 끊임없이 발생되고 있는 가운데, 새로운 랜섬웨어에 대한 내용보다 변종과 관련된 내용이 다수 차지하고 있다.


이는 여러가지 이유가 있겠지만, 그 중에 일부는 자동화 된 도구나 공개된 오픈 소스를 활용하기 때문인 것으로 추측된다.


이번에 발견 된 ‘Hermes’ 랜섬웨어도 지속적으로 업그레이드 되거나 변종이 계속해서 발견되고 있는데 최근 ‘Sundown Exploit Kit’ 을 통해 웹 서핑 도중 감염되는 변종이 확인 되었다. 해당 랜섬웨어는 기존에는 존재하지 않았던 암호화 제외 대상 목록이 존재하며 암호화 후 확장자를 변경시키지 않아 사용자가 감염 여부를 인지하기 어려울 것으로 예상된다.


이번 보고서에는 초기 ‘Hermes’ 랜섬웨어의 초기 버전부터 최근 버전까지의 변화된 내용에 대해서 간략하게 알아보고자 한다.






2. 분석 정보


2-1. Hermes 랜섬웨어의 변화

 

구분

특징

시기

초기버전

 확장자명 변경하지 않음, 랜섬 노트 명(DECRYPT_INFORMATION.html)

201702

초기버전(변종)

 암호화 파일의 확장자명 변경 (.hermes)

201702

2.0버전

 감염 대상 파일 확장자 (.hwp)포함 약 810개로 증가

201704

2.1버전

 exe, dll, lnk, ini, hrmlog를 제외한 모든 파일 암호화

201710

2.1버전(변종)

 암호화 파일의 확장자명 변경 (.HRM)

201712

2.1버전(변종)

 ‘Chrome’, ‘Mozila’ 등 감염 제외 폴더 증가

201802

[1] Hermes랜섬웨어 초기버전부터 현재까지 변화





2-2. ‘Hermes 2.1’ 랜섬웨어 분석 정보

해당 악성코드의 분석 정보는 기존에 잉카인터넷 공식 블로그에서 분석한 ‘Hermes2.1’ 랜섬웨어와 동일하다. 아래 링크 주소를 따라가면 동일한 부분에 대해서 참고 할 수 있고, 이번 보고서에서는 차이점 위주로 알아보고자 한다.

‘Hermes 2.1 랜섬웨어 감염 주의’ : http://erteam.tistory.com/1500





2-3. 기존 분석보고서와의 차이점

기존에 분석한 ‘Hermes 2.1’ 랜섬웨어와는 달리 최근 발견된 랜섬웨어는 특정 폴더를 암호화에서 제외 하는데, 백신 제품 설치 폴더가 암호화될 경우 자체 보호 기능에 의해 사용자가 인지 할 수 있는 부분을 우회하기 위한 것으로 추정된다. 이는 과거 초기 ‘Hermes’ 에서는 없었던 것으로 최근 ‘Hermes2.1’ 랜섬웨어에 반영됐다. 암호화에서 제외하는 폴더의 일부는 아래 [그림 1] 과 같이 변수로 지정하여 암호화에서 제외시킨다.


[그림 1] 암호화 제외 폴더[그림 1] 암호화 제외 폴더




해당 랜섬웨어의 암호화 대상이 되는 파일은 기존과는 다르게 5개 확장자를 제외하고 모든 파일을 암호화 한다. 암호화에서 제외가 되는 확장자는 아래 [표 2]와 같다. 


구분

내용

암호화 대상 제외 파일 확장자

.exe .dll .lnk .ini .hrmlog 를 제외한 모든 확장자 암호화

[2] 암호화 대상 제외 파일 확장자 내용





2-4. 초기 버전과 최근 버전의 비교

‘Hermes’ 의 초기 버전과 최근 버전의 랜섬노트는 모두 영어, 독일어, 프랑스어, 이탈리아어, 스페인어의 다양한 언어로 제공되며, 복호화 방법에 대한 안내와 함께 결제를 유도한다. 또한, 암호화된 파일이 정상적으로 복구된다는 것을 증명하기 위해, 테스트 용으로 3개의 파일 복호화를 진행해준다며 이메일 주소를 공개하고 있다. 버전의 차이만 있고 내용은 동일하다.


[그림 2] Hermes 초기버전 랜섬노트[그림 2] Hermes 초기버전 랜섬노트




[그림 3] Hermes 2.1 버전 랜섬노트[그림 3] Hermes 2.1 버전 랜섬노트



 

 

초기 Hermes

최근 Hermes

공통점

감염 제외 국가 (러시아, 우크라이나, 벨라루스)

암호화 대상 파일의 확장자를 변경하지 않음

Bat 파일 생성 및 실행하여 볼륨 쉐도우 카피 및 백업 파일 삭제

차이점

감염 제외 폴더

Windows, Microsoft, Program

Windows, AhnLab, Microsoft, Chrome, Mozilla

감염 대상 파일 확장자

txt, doc, zip, xls, jpg 외 약770개 확장자 감염

exe, dll, lnk, ini, hrmlog 5개를 제외한 파일 모두 감염

[3]Hermes 랜섬웨어 초기 버전과 최근 버전의 비교






3. 결론

이번 보고서에서 알아 본 ‘Hermes’ 랜섬웨어는 주로 웹의 취약점을 이용하여 공격을 시도 하기 때문에, 인터넷을 사용함 에 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 백업 파일을 삭제 하므로 중요한 자료는 별도로 백업해 보관해야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 4] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






Posted by nProtect & TACHYON