백신 탐지 피하기 위해 프로그램 개발 언어 C/C++에서 Visual Basic 6.0로 변경

[보안뉴스 김경애 기자] 최근 유포되고 있는 헤르메스 랜섬웨어 2.1 버전이 백신 탐지를 피하기 위해 프로그램 개발 언어를 C/C++에서 Visual Basic 6.0(N-Code : Native)으로 변경해 유포하고 있는 것으로 알려졌다. 이렇듯 갈수록 지능화되는 랜섬웨어 유포 방식에 이용자들의 각별한 주의가 필요하다는 지적이다.


안랩에 따르면 최근 유포되는 헤르메스 랜섬웨어 기능을 담당하는 내부 PE 파일이 외형적으로는 큰 차이를 보인다며 암호화돼 저장되는 실제 헤르메스 PE는 복구하고, 메모리에 새로 쓰는 RunPE 방식으로 구현된다고 분석했다.

외형적으로 변화된 헤르메스 랜섬웨어의 특징을 살펴보면 파일을 암호화하는 기능인 내부PE가 헤르메스 랜섬웨어 v2.1버전에서는 확장자를 .HRM으로 변경했다. 하지만 v2.1이후부터는 확장자 변경 없이 설계돼 있다.

또한, 2017년 10월경부터 2018년 상반기까지 유포된 헤르메스 랜섬웨어 v2.1버전에서는 C/C++ 언어를 사용했다면 2018년 7월 경부터는 Visual Basic 6.0으로 바뀌었다. 특히, 헤르메스 랜섬웨어에서 Visual Basic 6.0이 발견된 것이 처음이라 더욱 주목받고 있다.

이와 관련 안랩은 “랜섬웨어 악성코드 제작자가 이용자의 감염 성공률과 피해 확대 목적으로 백신 탐지를 우회하려는 양상을 보이고 있다”며 “기존에 사용하던 C/C++개발 언어에서 Visual Basic 6.0으로 바꿔 유포하고 있다. 이러한 변경된 언어로 제작된 랜섬웨어가 앞으로도 다양하게 출현할 것으로 예상된다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>