랜섬웨어

5700종 파일 암호화 하는 헤르메스(HERMES) 랜섬웨어

1,060    2017-12-28


개요  

‘매트릭스’의 후속 랜섬웨어 ‘헤르메스(HERMES)’가 웹을 통해 국내에 유포되고 있습니다.


이번에 발견된 ‘헤르메스’ 랜섬웨어는 2017년 국내 유입 사례가 있었던 ‘매트릭스’의 후속 랜섬웨어로 공격자가 선택해 유포 한 것으로 추정됩니다.
이는 한국을 공격 타겟으로 삼았을 가능성이 높다는 반증이기 때문에 국내 사용자들의 각별한 주의가 필요합니다.


'헤르메스’ 랜섬웨어는 ‘선다운(Sundown)’ 익스플로잇 킷을 통해서 유포 되며 웹서핑 도중 사용자 모르게 감염됩니다.



감염 피해 예상 

· PC 內 파일 암호화

(5700여 개의 확장자 파일을 암호화 할 수 있어 사실상 일반 사용자의 PC 내 모든 파일 암호화 될 가능성 높음)

· ‘VMware’ / ‘VirtualBox’ 등 가상 PC용 파일 암호화 가능

(가상화 서버를 사용하는 기업의 서버까지 피해규모 확산 위험)

· 가상 화폐 지갑 감염 가능

(가상 화폐 감염 으로 인한 천문학적 피해 금액 발생 가능)



동작방식 

  


· 웹서핑 도중 특정 사이트를 방문 유포 ▶ '선다운(Sundown) 익스플로잇 킷' 통해 유포
· 악성코드 자동 다운로드 및 실행
· 파일암호화 수행 후 윈도우 복원 지점을 삭제
· PC 內 5,700여 개 확장자를 암호화



감염 알림    


▶ 출처: IT-HELP (2017.12.28)



Sha-256(Hash) 정보

  



대응 방안  

해당 랜섬웨어인 헤르메스는 웹 페이지 방문만으로 감염이 될 수 있습니다.


웹페이지 광고를 차단해주는(Ad Blocker) Add-On을 사용 및 윈도우 보안패치를 최신으로 유지하여 예방이 가능합니다.


지속적으로 변화하는 랜섬웨어를 대응하기 위해서는 기존의 블랙 개념의 보안 솔루션이 아닌 화이트 리스트 기반의 프로세스 통제 솔루션을 통해 허가된 프로세스만을 사용하여 우회 및 변조 기법을 이용하여 침투 및 악성행위를 하는 프로세스 통제를 통하여 사전 예방이 가능합니다. .



관련 자료  

랜섬웨어 소개 및 대응 방안

랜섬웨어 치료 및 복구, 예방 방법

iMON LOPE 소개자료.pdf

케르베르 랜섬웨어



댓글 : 0