26일 보안업계에 따르면 ‘헤르메스’라는 이름의 랜섬웨어가 국내에 웹을 통해 확산 중이다. 이번에 발견된 헤르메스 랜섬웨어는 기존의 ‘매트릭스’ 랜섬웨어의 후속 버전으로 확인됐다. 유포 방식은 선다운 익스플로잇 킷으로 웹서핑 도중 사용자 모르게 감염되는 특징을 지니고 있다.
이 랜섬웨어는 파일을 암호화한 후 볼륨 쉐도우 복사본을 삭제해 윈도 복원 지점을 삭제, 복원을 무력화 한다. 각 드라이브에서 Bak 등 백업 관련 확장자를 지닌 파일을 삭제하며 폴더마다 ‘DECRYPT_INFORMATION.html’ 파일을 생성하는 특징이 있다.
이 랜섬웨어가 암호화하는 확장자는 약 5000여개 수준으로 한글문서와 VMware 등 가상환경의 확장자 등 대부분의 파일이 대상이며 가상화폐 지갑도 공격한다.
보안업계 한 관계자는 “이번에 발견된 헤르메스 랜섬웨어는 거의 모든 확장자의 파일을 대상으로 하고 있어 주의가 필요하다”며 “유포 초기인 만큼 보안 수칙을 철저하게 지켜야 피해를 막을 수 있다”고 말했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>