이번에 발견된 헤르메스 랜섬웨어는 2.1 버전으로 기존에 국내에 유포되고 있던 ‘매트릭스’ 랜섬웨어의 후속 버전으로 공격자에 의해 선택된 것으로 추정된다. 선다운(Sundown) 익스플로잇 킷을 통해서 유포되고 있기 때문에 웹 서핑 도중 사용자 모르게 감염된다.
이 랜섬웨어는 파일을 암호화한 후 볼륨 쉐도우 복사본(Volume Shadow Copy)을 삭제해 윈도 복원 지점을 삭제한다. 또한 각 드라이브에서 백업 관련 확장자를 가지는 백업 파일들을 삭제한다. 이후 폴더마다 ‘DECRYPT_INFORMATION.html’라는 이름의 랜섬웨어 감염 노트를 생성해 몸값을 내도록 유도한다.
이 랜섬웨어가 암호화하는 확장자는 5700여개다. 한글 문서와 가상환경에 사용하는 확장자 등 대부분의 파일들을 대상으로 한다. 일부 가상화폐 지갑도 암호화하는 것으로 파악됐다.
하우리 CERT실은 “이번에 발견된 헤르메스 랜섬웨어는 기존에 대상으로 삼지 않던 파일들도 대부분 목표로 하고 있다”며 “당분간 국내에 지속적으로 유포될 것으로 예상됨으로 각별한 주의가 필요하다”고 말했다.
한편, 현재 유포 중인 헤르메스 랜섬웨어는 하우리 바이로봇에서 ‘Trojan.Win32.Ransom’의 진단명으로 탐지 및 치료할 수 있다.
<최민지 기자>cmj@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
[윤석열 파면] 헌재 “야당의 방통위원장 탄핵소추, 계엄령 요건 될 수 없어”
2025-04-04 16:47:39SKT 유영상 “돈버는 AI 성과 본격화”…AI 성과 가시화 재차 강조
2025-04-04 10:44:29'尹 운명의 날'…통신3사, 탄핵선고 앞두고 총력 대비
2025-04-04 10:08:18[단독] 유료방송 위기여파 PP로…“콘텐츠 사용료 약 1200억원 감소 전망”
2025-04-03 17:44:35[DD퇴근길] 5대 AI에게 물었다…"尹 탄핵심판 결과, 어떨 것 같니?"
2025-04-03 17:13:51[인터뷰] 이해민 의원, "美 통상마찰 없이 '망 무임승차' 해결하려면"
2025-04-03 15:59:44[윤석열 파면] '탄핵 기념 정식' 인증샷 급증…中 포털서는 실시간 검색어 1위도
2025-04-04 16:49:16우아한형제들, 독일 모기업 DH 자사주 매입·소각…5372억원 지급
2025-04-04 16:48:46우아한형제들, 지난해 매출 4조원 벽 뚫었지만…무료배달 경쟁에 영업익 감소
2025-04-04 15:16:39지난해 외형 커진 배민·쿠팡이츠·요기요…수익성 개선은 공통 과제로
2025-04-04 15:16:17[네카오는 지금] 美 협상카드된 ‘플랫폼 규제 완화’…새로운 기회될까
2025-04-04 14:45:38김수현 '넉오프' 보류한 디즈니+, '재혼황후'로 텐트폴 채울까
2025-04-04 12:23:06