가상화폐 개인키를 저장한 전자지갑을 포함한 5700여 종의 파일을 암호화하는 랜섬웨어가 번져 주의가 필요하다.

보안업체 하우리는 26일 이 같은 기능을 가진 헤르메스(HERMES) 랜섬웨어가 국내 웹을 통해 유포 중이라고 경고했다.

이번에 새롭게 발견된 헤르메스 2.1버전은 '선다운(Sundown)' 익스플로잇 킷을 통해 취약점을 찾아 공격하므로 웹서핑 도중에도 감염될 수 있다.

헤르메스가 이용자 PC에 침투하게 되면 파일을 암호화 한 뒤 '볼륨 쉐도우 복사본(Volume Shadow Copy)'을 삭제해 윈도 복원 지점을 삭제한다. 또 하드디스크 드라이브에서 백업 관련 확장자를 가진 파일들도 없앤다. 

이후 폴더마다 'DECRYPT_INFORMATION.html'이라는 이름의 랜섬웨어 감염 노트를 생성해 몸값을 내도록 유도한다. 

이 랜섬웨어가 암호화 하는 파일 확장자는 5700여 개에 달한다. VMware, VirtualBox 같은 가상환경에서 사용하는 확장자 파일 등 대부분의 파일을 암호화 한다. 일부 가상화폐 지갑도 공격 대상인 것으로 파악됐다.

하우리는 "헤르메스 랜섬웨어는 기존에 공격 대상으로 삼지 않던 파일들도 노린다"며 "당분간 국내에 지속적으로 유포될 것으로 보여 각별한 주의가 필요하다"고 경고했다.

송강섭 기자 successnews@successnews.co.kr

Copyright ⓒ 썩세스경제