가상화폐 지갑까지 암호화하는 신종 랜섬웨어가 유포되고 있어 사용자들의 각별한 주의가 요구된다.

하우리(대표 김희천)가 발견한 헤르메스(HERMES) 랜섬웨어는 5700여개종에 이르는 확장자를 암호화할 수 있으며, HWP 한글 문서, VM웨어, 버추얼박스 등 가상 환경에 사용하는 확장자 등 대부분의 파일들을 대상으로 한다. 일부 가상화폐 지갑도 대상으로 하는 것으로 파악된다.

이번에 발견된 것은 기존 헤르메스 랜섬웨어의 진화된 버전으로 하우리는 2.1 버전이라고 구분하고 있다. ‘매트릭스’ 랜섬웨어를 유포하던 공격자들이 새롭게 채택한 것으로 보이며, 선다운(Sundown) 익스플로잇 킷을 통해서 유포되고, 웹 서핑 도중 감염된다.

헤르메스 랜섬웨어는 파일을 암호화한 후 볼륨 쉐도우 복사본을 삭제해 윈도우 복원 지점을 삭제한다. 또한 각 드라이브에서 백업 관련 확장자를 가지는 백업 파일들을 삭제한다. 이후 폴더마다 DECRYPT_INFORMATION.html 라는 이름의 랜섬웨어 감염 노트를 생성해 몸값을 내도록 유도한다.

하우리 CERT실은 “이번에 발견된 ‘헤르메스’ 랜섬웨어는 기존에 대상으로 삼지 않던 파일들도 대부분 목표로 하고 있다”며 “당분간 국내에 지속적으로 유포될 것으로 예상돼 각별한 주의가 필요하다”라고 밝혔다.

김선애 기자 다른기사 보기