파일을 암호화해 인질 삼아 대가를 요구하는 랜섬웨어가 암호화폐를 거래할 수 있는 개인키를 저장한 전자지갑까지 노리기 시작했다.
하우리는 최근 국내서 이 같은 기능을 가진 '헤르메스(HERMES)'라는 랜섬웨어가 유포되고 있어 주의가 필요하다고 26일 밝혔다.
새로 발견된 헤르메스 2.1 버전은 국내서 매트릭스 랜섬웨어를 퍼트렸던 공격자들이 유포하고 있는 것으로 추정된다.
이 랜섬웨어는 취약점 공격툴(익스플로잇 킷)인 '선다운(Sundown)'을 악용하는 탓에 사용자들은 웹서핑 도중에도 감염될 수 있다.
헤르메스는 파일을 암호화한 뒤 '볼륨 쉐도우 복사본(Volume Shadow Copy)'을 삭제해 윈도 복원 기능을 사용하지 못하게 만든다. 또한 각 하드디스크 드라이브에서 백업 관련 확장자를 가진 파일들을 삭제한다.
이후 폴더마다 'DECRYPT_INFORMATION.html'이라는 이름의 랜섬웨어 감염 노트를 생성해 대가를 지불하도록 요구한다.
이 랜섬웨어가 암호화하는 파일 확장자는 무려 5천700여개로 한글 문서파일(.hwp)에 더해 VM웨어나 버추얼박스 등 가상 환경에서 사용되는 확장자까지 대상으로 한다.
관련기사
- 랜섬웨어 24시간 초동대응 체계 만든다2017.12.26
- 코리아IDC, 호스팅 서버 일부 랜섬웨어 감염2017.12.26
- 최신 윈도10에 추가된 랜섬웨어 보호 기능 사용하기2017.12.26
- KISA, 랜섬웨어 변종 '배드래빗' 감염 주의 당부2017.12.26
이에 더해 일부 PC에서 사용 중인 암호화폐 전자지갑까지 공격대상에 포함한 것으로 확인됐다.
하우리 CERT실은 "새로 발견된 헤르메스는 이전까지 대상으로 삼지 않던 파일들도 대부분 목표로 하고 있다"며 "당분간 국내에 지속적으로 유포될 것으로 예상됨으로 각별한 주의가 필요하다"고 밝혔다.
