26일 보안업체 하우리에 따르면 헤르메스 랜섬웨어는 5700여종의 파일을 무차별적으로 암호화시킨다.
선다운(Sundown) 익스플로잇 킷을 통해 웹 서핑 도중 사용자 모르게 감염되며, 이용자의 PC에 침투하면 파일을 암호화한 뒤 윈도 복원 지점을 삭제한다. 각 드라이브에서 백업 관련 확장자를 가지는 파일들을 삭제한다.
VMware 등 가상환경에서 사용하는 확장자 파일 대부분과 일부 가상화폐 지갑도 공격 대상인 것으로 파악됐다. 보안업계는 특히 헤르메스 랜섬웨어는 기존에 공격 대상으로 삼지 않던 파일들도 노리고 있어 각별한 주의가 필요하다고 입을 모은다.