분석 정보/랜섬웨어 분석 정보

[악성코드 분석] Hermes 2.1 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 1. 11. 11:32

Hermes 2.1 랜섬웨어 감염 주의


1. 개요 


‘Hermes 2.1’ 랜섬웨어는 지정된 확장자를 대상으로 파일을 암호화한다. 일반적인 랜섬웨어와는 달리 암호화 후 확장자를 변경시키지 않아, 사용자가 자신이 랜섬웨어에 감염되었는지 파악하기 어려울 것으로 예상된다. 해당 랜섬웨어는 일반 사용자의 접근이 쉬운 국내 웹 사이트를 통해 유포되었기 때문에 각별한 주의가 필요하다.


이번 보고서에는 국내 웹 사이트를 통해 유포된 ‘Hermes 2.1’ 랜섬웨어에 대해서 알아보고자 한다.








2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

[임의의 파일명].exe

파일크기

345,088 byte

진단명

Ransom/W32.Hermes.345088

악성동작

파일 암호화













2-2. 유포 경로

‘Sundown Exploit Kit’를 사용하여 웹 브라우저의 취약점을 악용함으로써 웹 사이트를 통해 유포되었다.





2-3. 실행 과정

‘Hermes 2.1’ 랜섬웨어는 실행 시 지정된 확장자 파일을 암호화하고 암호화된 파일의 확장자를 그대로 유지함으로써      일반적인 랜섬웨어와는 다른 행태를 보인다. 이후 사용자가 암호화된 파일을 복구하지 못하도록 쉐도우 복사본을 삭제하는데 이는 ‘cmd.exe’ 를 통해 ‘window.bat’ 파일을 실행시킴으로써 그 기능을 수행한다. 실행된 ‘window.bat’ 파일과 ‘Hermes 2.1’ 랜섬웨어는 동작이 끝나면 삭제되고 아래 [그림1]과 같이 .html 포맷의 랜섬노트를 띄운다.


[그림1] Hermes 2.1 랜섬노트[그림1] Hermes 2.1 랜섬노트



랜섬노트는 영어, 독일어, 프랑스어, 이탈리아어, 스페인어의 다양한 언어로 제공되며, 복호화 방법에 대한 안내와 함께 결제를 유도한다. 또한, 암호화된 파일이 정상적으로 복구된다는 것을 증명하기 위해, 테스트용으로 3개의 파일 복호화를 진행해준다며 이메일 주소를 공개하고 있다.









3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일의 일부 확장자는 아래 [표1]과 같다.


구분

내용

암호화 대상 파일 확장자

tif php 1cd 7z cd 1cd dbf ai arw txt doc docm docx zip rar xlsx xls xlsb xlsm jpg jpe jpeg bmp db eql sql adp mdf frm mdb odb odm odp ods dbc frx db2 dbs pds pdt pdf dt cf cfu mxl epf kdbx erf vrp grs geo st pff mft efd 3dm 3ds rib ma max lwo lws m3d mb obj x x3d c4d fbx dgn dwg 4db 4dl 4mp abs adn a3d aft ahd alf ask awdb azz bdb bib bnd bok btr bak cdb ckp clkw cma crd dad daf db3 dbk dbt dbv dbx dcb dct dcx ddl df1 dmo dnc dp1 dqy dsk dsn dta dtsx dxl eco ecx edb emd fcd fic fid fil fm5 fol fp3 fp4 fp5 fp7 fpt fzb fzv gdb gwi hdb his ib idc ihx itdb itw jtx kdb lgc maq mdn mdt mrg mud mwb s3m myd ndf ns2 ns3 ns4 nsf nv2 nyf oce oqy ora orx $$$ $01 $db $efs $er __a __b {pb ~cw ~hm 0 00 000 001 002 1 101 103 108 110 113 123 123c 123d 123dx 128 1cd 1pe 1ph 1sp 1st 256 264 2d 2mg 3 32x 3d 3d2 3d4 3da 3dc 3dd 3df 3df8 3dl 3dm 3dmf 3dmk 3don 3dp 3dr 3ds 3dt 3dv 3dw 3dx 3dxml 3fr 3g2 3ga 3gp 3gp2 3gpp 3gpp2 3me 3mm 3p2 3pe 3pr 3w 4db 4dd 4dl 4dv 4mp 4th 4w7 555 602 60d 73b 73c 73l 787 7z 7zip 8 890 89t 89y 8ba 8bc 8be 8bf 8bi 8bi8 8bl 8bs 8bx 8by 8ld 8li 8pbs 8st 8svx 8xg 8xk 8xs 8xt 8xv 9xt 9xy a a$v a00 a01 h02è‹ a1wish a26 a2c a2l a2m a2theme a2w a3l a3m a3w a4l a4m a4p a4w a52 a5l a5rpt a5w a5wcmp a65 a8s aa aa3 aac aaf aah aam aao aaui ab ab1 ab2 ab3 ab4 ab65 aba abc abcd abdata abf abi abk abkprj abp abs abt abw abx aby ac2 ac3 ac5 ac6 aca acbl acc accda accdb accdc accde accdr accdt accdu accdw accft acd ace acf acg ach aco acp acr acrobatsecuritysettings acrodata acroplugin acrypt act actm actx acv acw acx ad ada adb adblock adc adcp add addin addon ade adf adi adn ado adobebridge adoc ados adox adp adpb adpp adr ads adt adu adv advs adx adz aea aec aep aepx aes aet aetx aex afd afdesign afe aff afm afp afs aft agb agd agd1 agdl age3rec age3sav age3scn age3xrec age3xsav age3xscn age3yrec age3ysav age3yscn agg aggr agi agx ahd ahf ahl ahs ahu ai aia aif aifb aiff aim ain aip ais ait aiu aiv ajp ak al al8 ala alb alb3 alb4 alb5 alb6 alc ald ale alf ali allet alm alp alr alt3 alt5 alv alx alz am am1 am4 am5 am6 am7 amb amc amf aml amm amp amr ams amsorm amt amu amv amx amxx an an1 an2 an8 ane anim animset animset_ingame anl anm anme ann ans ansr ansym anx any aof aoi aois aom ap ap_ apa apd ape apf aph api apj apk apl aplg aplp apnx apo app applet application appref - ms approj appx appxsym appxupload apr aps apt apw apxl apz aqt ar arc arch00 arcut ard arena arf arff arg arh ari arj ark arl aro arp arpack arr ars arsc artproj arw arx as as$ as2proj as3 as3proj as4 asa asat asax asc ascii ascm ascs ascx asd asdb ase asef asf ash ashbak ashdisc ashprj ashx asi ask asl asm asmx asn asnd asp aspx asr asset asstrm ast asv asvf asvx aswcs asws asx asy atc ate atf ath ati atl atm atn atom atomsvc atr ats att atw atx aty atz au3 aut automaticdestinations autoplay aux av ava avb avc avchd avd ave avhd avi avj avn avp avs avv avx aw awcav awd awdb awe awg awlive awm awp aws awt aww awwp ax axd axe axm axp axt axx azf azs azw azw1 azw3 azw4 azz azzx b b1 b27 b2a b3d b5i b5t b64 b6i b6t ba bac back backup backupdb bad bafl bak bak~ bak2 bak3 bakx bamboopaper bank bar bas base baserproj basex bat bau bav bax bay bb bb3 bbb bbc bbcd bbl bbprojectd bbs bbxt bbz bc5 bc6 bc7 bcc bcd bci bck bckp bcl bcm bcmx bcp bcs bct bdb bdb2 bdc bdf bdic bdl bdm bdmv bdp bdr bdsproj bdt2 bdt3 bean bed bet bf bfa bfg bfm bfs bfx bgi bgl bgt bgv bgz bh bho bhx bi8 bib bibtex bic bif big bik bil bim bin bina bionix bip biq bit bitpim bix bizdocument bjl bjo bk bk! bk1 bk2 bk3 bk4 bk5 bk6 bk7 bk8 bk9 bkc bkf bkg bkk bkp bks bkup bkz blb bld blend blend1 blend2 blg blk blm bln blob blockplt blogthis blorb blp bls blt blu bluej blw blz bm2 bm3 bmc bmd bme bmf bmg bmi bmk bml bmm bmml bmp bmpr bms bmz bna bnd bndl bng bnk bnp bns bnz boc bok boo book boot bop box bp1 bp2 bp3 bpa bpb bpd bpdx bpf bpg bpk bpl bpm bpmc bpn bpnueb bpr bps bpw bpz br3 br4 br5 br6 ...

[1] 암호화 대상 파일 확장자 일부 내용



해당 랜섬웨어는 파일에 대한 암호화만 진행할 뿐 추가 확장자를 붙여 변경하지 않는다. 아래 [그림2]는 암호화된 파일의 예시이다.


 [그림2-1] 암호화 된 파일 [그림2-1] 암호화 된 파일



[그림2-2] 암호화 전(왼쪽) 후(오른쪽)[그림2-2] 암호화 전(왼쪽) 후(오른쪽)







3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 감염되기 이전으로 복구하는 것을 방지하기 위해 볼륨 쉐도우 복사본을 삭제한다. 아래 [그림3]의 Command Line과 같은 명령어로 ‘window.bat’ 을 실행하여 그 기능을 수행하는데 ‘window.bat’ 은 [그림 4]와 같이 볼륨 쉐도우를 삭제하는 명령어를 담고 있다.


[그림3] 쉐도우 파일 삭제를 위한 ‘window.bat’ 실행[그림3] 쉐도우 파일 삭제를 위한 ‘window.bat’ 실행



[그림4] 쉐도우 파일을 삭제하는 ‘window.bat’[그림4] 쉐도우 파일을 삭제하는 ‘window.bat’








4. 결론



‘Hermes’ 2.1 랜섬웨어는 국내 웹 사이트를 통해 유포되었기 때문에, 인터넷 사용에 각별한 주의가 필요하다. 그 뿐만 아니라 이번 랜섬웨어의 경우 파일을 암호화한 뒤에도 확장자를 변경하지 않아 감염에 대한 인지 및 대응이 지연될 것으로 예상된다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관해야 할 것이다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능