check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

유효한 디지털 서명이 포함된 헤르메스2.1과 래피드 랜섬웨어...주의

2018년 11월 02일(금)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

▲ 헤르메스(HERMES) 2.1 랜섬웨어와 래피드(Rapid) 랜섬웨어 유포에 사용된 악성파일에 유효한 "DSGN & CO. LTD" 디지털 서명이 포함되어 있다.
▲ 헤르메스(HERMES) 2.1 랜섬웨어와 래피드(Rapid) 랜섬웨어 유포에 사용된 악성파일에 유효한 "DSGN & CO. LTD" 디지털 서명이 포함되어 있다.
유효한 "DSGN & CO. LTD" 디지털 서명이 포함된 랜섬웨어가 확인됐다.

헤르메스(HERMES) 2.1 랜섬웨어와 래피드(Rapid) 랜섬웨어 유포에 사용된 악성파일에 유효한 "DSGN & CO. LTD" 디지털 서명이 포함되어 있는 것으로 드러났다.

헤르메스 2.1 랜섬웨어는 최신 보안 패치가 적용되지 않은 인터넷 익스플로러 웹 브라우저를 이용해 특정 웹 사이트 접속 시 취약점 방식으로 감염되는 기존 내용과 크게 다른 부분은 없다.

파일 암호화 완료 후 파일을 복원할 수 없도록 볼륨 섀도우 삭제 및 각 드라이브에 존재할 수 있는 백업 파일을 삭제한다.

헤르메스 2.1 랜섬웨어 유포가 중지된 후 10월 31일 오후부터 래피드 랜섬웨어 유포가 진행되기 시작했다.

래피드 랜섬웨어 유포에 사용된 악성파일에도 동일한 디지털 서명이 사용됐으며 랜섬웨어 파일 실행 위치도 동일하다. 공격자가 헤르메스 2.1 랜섬웨어 유포 후 래피드 랜섬웨어로 전환한 것으로 추측된다.

감염이 이루어진 래피드 랜섬웨어는 1분마다 랜섬웨어 악성 파일을 재실행하여 암호화한다. 또한 윈도우 부팅 시에도 자동 실행되도록 시작 프로그램 레지스트리 값에 등록한다.

이와 같이 유효 디지털 서명 우회 발급 및 타 업체의 디지털 서명을 악용해 랜섬웨어 악성 파일에 추가하여 유포하는 사례도 발견되고 있다.

체크멀 관계자는 “인터넷 익스플로러 웹 브라우저, 어도비 플래시 플에이어와 같은 소프트웨어 취약점(Exploit)에 대한 최신 보안 패치를 업데이트 하는 것이 중요하다”며 “앱체크는 헤르메스 2.1 랜섬웨어와 래피드 랜섬웨어의 파일 암호화 행위를 정상적으로 차단하고 암호화된 파일에 대한 자동 복원을 지원한다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★


길민권 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기