HAURI

전체메뉴 열기

Check Virus Alerts and HAURI News

긴급 악성코드 이슈와 하우리 소식을 확인하세요.

공지사항

[보도자료] (주)하우리, 헤르메스 랜섬웨어 국내 유포 주의 요망
등록일 :
2017.12.26

보안전문기업 (주)하우리(대표 김희천)는 최근 “헤르메스(HERMES)” 랜섬웨어가 국내 웹을 통해 유포되고 있어 사용자들의 주의가 필요하다고 밝혔다.

이번에 발견된 ‘헤르메스’ 랜섬웨어는 2.1 버전으로 기존에 국내에 유포되고 있던 ‘매트릭스’ 랜섬웨어의 후속 랜섬웨어로 공격자에 의해 선택된 것으로 추정된다. “선다운(Sundown)” 익스플로잇 킷을 통해서 유포되고 있기 때문에 웹 서핑 도중 사용자 모르게 은밀하게 감염된다.

‘헤르메스’ 랜섬웨어는 파일을 암호화한 후 “볼륨 쉐도우 복사본(Volume Shadow Copy)”을 삭제해 윈도우 복원 지점을 삭제한다. 또한 각 드라이브에서 백업 관련 확장자를 가지는 백업 파일들을 삭제한다. 이후 폴더마다 “DECRYPT_INFORMATION.html” 라는 이름의 랜섬웨어 감염 노트를 생성하여 몸값을 내도록 유도한다. 

‘헤르메스’ 랜섬웨어가 암호화하는 확장자는 무려 5,700여 개로 매우 많은 종류의 파일들을 암호화 한다. “.hwp” 한글 문서나 “VMware”나 “VirtualBox” 같은 가상 환경에 사용하는 확장자 등 대부분의 파일들을 대상으로 한다. 또, 일부 가상화폐 지갑도 대상으로 하는 것으로 파악되어 최근 가상화폐 이슈도 반영한 것으로 보인다. 

하우리 CERT실은 “이번에 발견된 ‘헤르메스’ 랜섬웨어는 기존에 대상으로 삼지 않던 파일들도 대부분 목표로 하고 있다”라며, “당분간 국내에 지속적으로 유포될 것으로 예상됨으로 각별한 주의가 필요하다”라고 밝혔다.

현재 유포 중인 ‘헤르메스’ 랜섬웨어는 하우리 바이로봇에서 "Trojan.Win32.Ransom"의 진단명으로 탐지 및 치료할 수 있다.

 


[그림1. 헤르메스 랜섬웨어 감염 시 나타나는 랜섬 노트]

 

 

Top