세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
“헤르메스 랜섬웨어, 백신 탐지 피하려 프로그램 언어도 바꿔”
  |  입력 : 2018-07-11 17:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
백신 탐지 피하기 위해 프로그램 개발 언어 C/C++에서 Visual Basic 6.0로 변경

[보안뉴스 김경애 기자] 최근 유포되고 있는 헤르메스 랜섬웨어 2.1 버전이 백신 탐지를 피하기 위해 프로그램 개발 언어를 C/C++에서 Visual Basic 6.0(N-Code : Native)으로 변경해 유포하고 있는 것으로 알려졌다. 이렇듯 갈수록 지능화되는 랜섬웨어 유포 방식에 이용자들의 각별한 주의가 필요하다는 지적이다.

[이미지=안랩]


안랩에 따르면 최근 유포되는 헤르메스 랜섬웨어 기능을 담당하는 내부 PE 파일이 외형적으로는 큰 차이를 보인다며 암호화돼 저장되는 실제 헤르메스 PE는 복구하고, 메모리에 새로 쓰는 RunPE 방식으로 구현된다고 분석했다.

외형적으로 변화된 헤르메스 랜섬웨어의 특징을 살펴보면 파일을 암호화하는 기능인 내부PE가 헤르메스 랜섬웨어 v2.1버전에서는 확장자를 .HRM으로 변경했다. 하지만 v2.1이후부터는 확장자 변경 없이 설계돼 있다.

또한, 2017년 10월경부터 2018년 상반기까지 유포된 헤르메스 랜섬웨어 v2.1버전에서는 C/C++ 언어를 사용했다면 2018년 7월 경부터는 Visual Basic 6.0으로 바뀌었다. 특히, 헤르메스 랜섬웨어에서 Visual Basic 6.0이 발견된 것이 처음이라 더욱 주목받고 있다.

이와 관련 안랩은 “랜섬웨어 악성코드 제작자가 이용자의 감염 성공률과 피해 확대 목적으로 백신 탐지를 우회하려는 양상을 보이고 있다”며 “기존에 사용하던 C/C++개발 언어에서 Visual Basic 6.0으로 바꿔 유포하고 있다. 이러한 변경된 언어로 제작된 랜섬웨어가 앞으로도 다양하게 출현할 것으로 예상된다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)