Home > 전체기사
매트릭스 이어 ‘헤르메스’ 랜섬웨어 국내 출현
  |  입력 : 2017-12-26 16:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
선다운 익스플로잇킷 통해 유포...가상화폐 지갑 등 5,700여개 확장자 파일 암호화

[보안뉴스 김경애 기자] 최근 ‘헤르메스(HERMES)’ 랜섬웨어가 국내 웹을 통해 유포되고 있어 이용자들의 주의가 필요하다.

▲‘헤르메스’ 랜섬웨어 감염 시 나타나는 랜섬 노트


보안전문기업 하우리에 따르면 “이번에 발견된 ‘헤르메스’ 랜섬웨어는 2.1 버전이며, 기존에 국내에 유포되고 있던 ‘매트릭스’ 랜섬웨어의 후속 랜섬웨어로 공격자가 선택해 뿌린 것으로 추정된다”며 “‘선다운(Sundown) 익스플로잇 킷’을 통해 유포돼 웹서핑 도중 사용자 몰래 은밀히 감염된다”고 밝혔다.

‘헤르메스’ 랜섬웨어는 파일을 암호화한 후, ‘볼륨 쉐도우 복사본(Volume Shadow Copy)’을 삭제해 윈도우 복원 지점을 삭제한다. 또한, 각 드라이브에서 백업 관련 확장자를 가지는 백업파일들을 지운다.

이후 폴더마다 ‘DECRYPT_INFORMATION.html’라는 이름의 랜섬웨어 감염노트를 생성하여 몸값을 내도록 유도한다.

‘헤르메스’ 랜섬웨어가 암호화하는 확장자는 무려 5,700여개로 매우 많은 종류의 파일들을 암호화한다.

‘hwp’ 한글문서는 물론 ‘VMware’나 ‘VirtualBox’와 같이 가상환경에 사용하는 확장자 등 대부분의 파일들을 대상으로 한다. 또한, 일부 가상화폐 지갑도 대상으로 하는 것으로 파악돼 최근 가상화폐 이슈도 반영한 것으로 보인다.

하우리 CERT 실은 “이번에 발견된 ‘헤르메스’ 랜섬웨어는 기존에 대상으로 삼지않던 파일들도 대부분 노리고 있다”며, “당분간 국내에 지속적으로 유포될 것으로 예상돼 각별한 주의가 필요하다”고 말했다.

현재 유포 중인 ‘헤르메스’ 랜섬웨어는 하우리 바이로봇에서 ‘Trojan.Win32.Ransom’의 진단명으로 탐지 및 치료할 수 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 9
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)