باج افزارهای Hermes خانواده ای گسترده از ویروس های رمزنگاری هستند. تمامی نسخه های این باج افزار از الگوریتم رمزنگاری AES-256 همراه با RSA-2048 استفاده می کنند. نسخه اول افزونه ای اضافه نمی کرد و فقط با افزودن یک نشانگر فایلِ(۱) HERMES، محتویات فایل ها را تغییر می داد. آخرین نسخه این باج افزار شروع به افزودن پسوند hrm میکند، اما پس از آن اقدام به رمزگذاری فایل ها بدون تغییر نام آن ها می کند. پس از رمزگذاری، این باج افزار فایل های DECRYPT_INFO.txt و DECRYPT_INFORMATION.html را ایجاد می کند که حاوی یک پیام با دستورالعمل برای پرداخت جریمه و جزئیات تماس است. معمولاً ویروس هایی از این نوع درخواست ۵۰۰ تا ۱۰۰۰ دلار بیت کوین را به کاربر اعلام می کنند.
باج افزار Hermes در حقیقت UAC را دور میزند و volumeهایی از نوع shadow copy و فایلهای پشتیبان را حذف می کند. این ویروس می تواند انواع فایل های پشتیبان زیر را حذف کند، که در نهایت می تواند روند بازیابی را مختل کند:
*.VHD, *.bac, *.bak, *.wbcat, *.bkf, Backup*.*, backup*.*, *.set, *.win, *.dsk
چگونه باج افزار Hermes کامپیوتر شمارا آلوده می کند؟
این باج افزار میتواند با هک شدن و از طریق یک پیکربندی RDP محافظت نشده، با استفاده از هرزنامه ها و پیوست های مخرب، دانلودهای جعلی، بهره بردارها، تزریق از طریق وب، بهروزرسانی های جعلی، فایل های نصب بسته بندی مجدد شده و آلوده شده، توزیع شود.
پس از رمزگذاری، کپی های سایه های فایل ها توسط این دستور حذف میشوند: vssadmin.exe vssadmin delete shadows / all / quiet.
ویروس یک شناسه خاص را به قربانیان اختصاص می دهد که برای نام گذاری فایل های آن ها و ظاهراً برای ارسال کلید رمزگشایی برای آن ها مورداستفاده قرار می گیرد.