웹 서핑 도중에 사용자 모르게 감염돼 대량의 파일을 암호화하는 '헤르메스(HERMES)' 랜섬웨어가 국내에 유포되고 있다.
헤르메스 랜섬웨어가 암호화 하는 파일의 확장자만 무려 5천700여 개에 달해 감염시 적지 않은 피해가 우려된다.
보안전문기업 (주)하우리는 "헤르메스 랜섬웨어가 국내 웹을 통해 유포되고 있어 사용자들의 주의가 필요하다"고 경고했다.
하우리에 따르면 이번에 발견된 헤르메스 랜섬웨어는 '2.1 버전'으로 기존에 국내에 유포되고 있던 '매트릭스' 랜섬웨어의 후속 랜섬웨어로 공격자에 의해 선택된 것으로 추정된다.
헤르메스 랜섬웨어에 감염되면 윈도우 복원 지점은 물론 각 드라이브에서 백업 관련 확장자를 가지는 백업 파일들을 삭제해 사용자가 복원을 할 수 없도록 만든다. 이후 폴더마다 "DECRYPT_INFORMATION.html" 라는 이름의 랜섬웨어 감염 노트를 내보내고 몸값을 내도록 유도한다.
헤르메스 랜섬웨어가 암호화하는 확장자 5천700여 개 중에는 한글 문서파일(.hwp)도 포함돼 있으며, 'VMware'나 'VirtualBox' 같은 가상 환경에 사용하는 확장자 파일 대부분과 일부 가상화폐 지갑도 대상으로 하는 것으로 파악됐다.
하우리 관계자는 "이번에 발견된 헤르메스 랜섬웨어는 기존에 대상으로 삼지 않던 파일들도 대부분 목표로 하고 있다"라며 "당분간 국내에 지속적으로 유포될 것으로 예상됨으로 각별한 주의가 필요하다"라고 밝혔다.
헤르메스 랜섬웨어가 암호화 하는 파일의 확장자만 무려 5천700여 개에 달해 감염시 적지 않은 피해가 우려된다.
보안전문기업 (주)하우리는 "헤르메스 랜섬웨어가 국내 웹을 통해 유포되고 있어 사용자들의 주의가 필요하다"고 경고했다.
하우리에 따르면 이번에 발견된 헤르메스 랜섬웨어는 '2.1 버전'으로 기존에 국내에 유포되고 있던 '매트릭스' 랜섬웨어의 후속 랜섬웨어로 공격자에 의해 선택된 것으로 추정된다.
헤르메스 랜섬웨어에 감염되면 윈도우 복원 지점은 물론 각 드라이브에서 백업 관련 확장자를 가지는 백업 파일들을 삭제해 사용자가 복원을 할 수 없도록 만든다. 이후 폴더마다 "DECRYPT_INFORMATION.html" 라는 이름의 랜섬웨어 감염 노트를 내보내고 몸값을 내도록 유도한다.
헤르메스 랜섬웨어가 암호화하는 확장자 5천700여 개 중에는 한글 문서파일(.hwp)도 포함돼 있으며, 'VMware'나 'VirtualBox' 같은 가상 환경에 사용하는 확장자 파일 대부분과 일부 가상화폐 지갑도 대상으로 하는 것으로 파악됐다.
하우리 관계자는 "이번에 발견된 헤르메스 랜섬웨어는 기존에 대상으로 삼지 않던 파일들도 대부분 목표로 하고 있다"라며 "당분간 국내에 지속적으로 유포될 것으로 예상됨으로 각별한 주의가 필요하다"라고 밝혔다.
/박상일기자 metro@kyeongin.com