[아이뉴스24 성지은기자] 보안전문기업 하우리는 최근 5천700여개 확장자를 암호화하는 '헤르메스(HERMES) 랜섬웨어'가 국내 웹을 통해 유포되고 있다며 26일 사용자 주의를 당부했다.
이번에 발견된 헤르메스 랜섬웨어는 2.1 버전으로, 기존 국내에 유포된 '매트릭스 랜섬웨어'의 후속 랜섬웨어로 추정된다. 선다운(Sundown) 익스플로잇 킷을 통해서 유포돼 웹 서핑 도중 사용자도 모르게 은밀하게 감염될 수 있다.
헤르메스 랜섬웨어는 파일을 암호화한 뒤 볼륨 쉐도우 복사본(Volume Shadow Copy)을 삭제해 윈도 복원 지점을 삭제한다. 또 각 드라이브에서 백업 관련 확장자를 가지는 백업 파일들을 삭제한다. 이후 폴더마다 'DECRYPT_INFORMATION.html'이라는 이름의 랜섬웨어 감염 노트를 생성해 몸값을 지불하도록 유도한다.
이번 랜섬웨어는 무려 5천700여개의 확장자 파일을 암호화한다. 특히 한글 문서(.hwp)나 VM웨어, 버츄어박스 같은 가상환경에서 사용하는 확장자 등 대부분의 파일을 대상으로 한다. 또 일부 암호화폐 지갑도 대상으로 하는 것으로 파악된다.
하우리 침해대응(CERT)실은 "이번에 발견된 헤르메스 랜섬웨어는 기존에 대상으로 삼지 않던 파일들도 대부분 목표로 하고 있다"며 "당분간 국내에 지속적으로 유포될 것으로 예상됨으로 각별한 주의가 필요하다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기