뉴스 > 사회

가상화폐 지갑 먹통 만드는 '헤르메스' 랜섬웨어 확산

등록 2017-12-26 21:33:25 | 수정 2018-01-19 13:27:36

하우리, "은밀하게 감염…암호화 가능한 확장자 5700여 개"

‘헤르메스’ 랜섬웨어 감염 때 나타나는 랜섬 노트. (하우리 제공)
지금까지 악성코드들이 쉽게 건드리지 못한 파일에까지 암호를 걸어 몸값을 요구하는 강력한 랜섬웨어가 퍼지고 있어 컴퓨터 사용자들의 주의가 필요하다. 랜섬웨어는 악성코드를 이용해 컴퓨터 파일에 암호를 걸고, 일정 금액의 몸값(랜섬)을 낸 피해자에 한해 암호를 풀어주는 해킹을 말한다.

26일 보안전문기업 하우리는 "최근 '헤르메스' 랜섬웨어가 국내 웹을 통해 확산하고 있다"고 밝혔다. 이번에 발견한 헤르메스 랜섬웨어는 2.1 버전으로 앞서 국내에 퍼지던 '매트릭스' 랜섬웨어 후속이다. '선다운' 익스플로잇 킷으로 은밀하게 확산하기 때문에 컴퓨터 사용자들은 웹 서핑 도중 헤르메스에 감염되더라도 이를 곧바로 알지 못할 수 있다.

하우리에 따르면, 헤르메스 랜섬웨어는 파일에 암호를 건 후 '볼륨 쉐도우 복사본'을 삭제함으로써 윈도우 복원 지점을 지운다. 이와 함께 각 저장소에서 백업 관련 확장자 이름을 가진 백업 파일을 삭제하고, 폴더마다 'DECRYPT_INFORMATION.html'이란 랜섬웨어 감염 노트를 만들어 몸값을 내도록 유도한다.

헤르메스에 주목해야 하는 이유는, 이 랜섬웨어가 암호로 만들 수 있는 확장자가 무려 5700여 개에 이르기 때문이다. '.hwp' 한글 문서는 물론 가상 환경에서 사용하는 'VMware'와 'VirtualBox' 확장자를 비롯해 대부분 파일을 대상으로 한다. 심지어 일부 가상화폐 지갑까지 노리고 있다는 게 하우리의 설명이다. 이는 최근 가상화폐가 세간의 관심을 받았기 때문으로 보인다.

하우리는 "이번에 발견한 헤르메스 랜섬웨어는 기존에 대상으로 삼지 않던 파일들도 대부분 목표로 한다"며, "당분간 국내에 지속적으로 퍼질 것으로 보이는 만큼 각별한 주의가 필요하다"고 당부했다.



이슬 기자 dew@newshankuk.com