5000여종 파일 암호화…'헤르메스' 랜섬웨어 국내 유포

한글 문서 등 5700여종 파일 암호화 하고 복원 지점도 삭제
가상화폐 지갑도 공격 대상으로 삼아

헤르메스 랜섬웨어에 감염되면 나타나는 랜섬노트(자료=하우리)

[아시아경제 한진주 기자] 5000여종 이상의 파일을 암호화시키는 헤르메스 랜섬웨어가 국내에 유포됐다.

26일 하우리는 헤르메스 랜섬웨어가 선다운(Sundown) 익스플로잇 킷을 통해 유포되고 있으며 웹서핑 도중 인지하지 못한 상태로 감염될 수 있어 주의가 필요하다고 밝혔다.

헤르메스 랜섬웨어는 파일을 암호화한 후 윈도 복원 지점을 삭제한다. 각 드라이브에서 백업 관련 확장자를 포함한 백업 파일까지 지운다. 감염된 후에는 폴더마다 'DECRYPT_INFORMATION.html'이라는 이름의 랜섬웨어 감염 노트를 생성해 데이터를 복구하려면 비용을 지불하도록 유도한다.

헤르메스 랜섬웨어가 암호화하는 파일 확장자는 5700 여개로 아주 많은 종류의 파일들을 암호화 한다. 확장자가 '.hwp'인 한글 문서나 'VMware'나 'VirtualBox' 같은 가상 환경에 사용하는 확장자 등 대부분의 파일들을 대상으로 한다. 또 가상화폐 지갑도 공격 대상으로 삼는 것으로 파악되고 있다.

헤르메스 랜섬웨어는 2.1 버전으로 기존에 국내에 유포되고 있던 '매트릭스' 랜섬웨어를 만든 공격자가 유포한 것으로 추정된다.

하우리 CERT실은 "이번에 발견된 헤르메스 랜섬웨어는 기존에 대상으로 삼지 않던 파일들도 대부분 목표로 하고 있다"며 "당분간 국내에 지속적으로 유포될 것으로 예상됨으로 각별한 주의가 필요하다"고 밝혔다.

한진주 기자 truepearl@asiae.co.kr