Home > #새소식 > 맥 사용자 겨냥 첫 랜섬웨어 등장… 맥용 토렌트 클라이언트 통해 유포

맥 사용자 겨냥 첫 랜섬웨어 등장… 맥용 토렌트 클라이언트 통해 유포

zz1

맥 사용자를 노린 랜섬웨어가 최초로 등장해 사용자들의 각별한 주의가 요구되고 있습니다. 나인투파이브맥과 맥루머스 등의 주요외신들은 보안업체 ‘팔로알토네트웍스‘를 인용해 맥 사용자를 노린 랜섬웨어가 처음으로 발견됐다고 6일(현지시간) 보도했습니다.

‘랜섬웨어(Ransomware)’는 이용자의 동의 없이 파일을 잠그고 이를 미끼로 금전적인 대가를 요구하는 해킹 공격기법을 뜻합니다. 팔로알토네트웍스에서 발견한 이번 랜섬웨어는 맥용 토렌트 클라이언트인 ‘트랜스미션(Transmission)’ 2.90 버전에서 발견된 것으로 ‘KeRanger’라고 명명됐습니다.

사용자가 트랜트미션 공식 사이트에서 내려받은 2.90 버전을 설치하면 3일 동안은 아무런 문제를 일으키지 않습니다. 하지만 3일의 잠복기를 끝내면 해커의 서버에서 암호화 키를 내려받고 컴퓨터의 ‘/Users’ ‘/Volumes/’ 폴더 아래 있는 문서와 이미지, 동영상, 음악, 압축 파일 등을 암호화하여 사용자가 접근할 수 없도록 만듭니다. 심지어 OS X의 백업 솔루션인 ‘타임머신’도 사용자가 접근하지 못하도록 만들 수 있다고 합니다.

service

“백그라운드에 kernel_service 프로세스를 심은 후 잠복기 3일 뒤 시스템 주요 폴더를 암호화” -Palo Alto Networks

affected

‘KeRanger’ 랜섬웨어에 의해 무단으로 암호화되는 파일 유형 – Palo Alto Networks

이후 해커는 피해자에게 암호화 된 데이터를 풀 수 있는 열쇠 프로그램을 전송해 준다며 400달러 상당의 비트코인을 요구하는 것으로 알려졌습니다. 아직 구체적인 피해사례는 나오지 않았지만, 트랜스미션 2.90 버전이 지난 5일에 출시됐으니 3일의 잠복기가 끝나는 오늘부터는 실제로 피해가 일어날 가능성을 배제할 수 없습니다.

트랜스미션 개발팀 측은 6일(현지시각) 자사 웹사이트에 트랜스미션이 랜섬웨어에 감염되었다는 경고를 올리는 한편, 해당 문제를 해결한 버전 2.91로 즉각 업데이트할 것을 당부했습니다.

아울러 맥이 랜섬웨어에 감염됐는 지 확인하는 방법도 같이 공지했습니다. 응용 프로그램 > 유틸리티 > 활성 상태 보기 앱을 켜서 ‘kernel_service’라는 프로세스가 돌아가고 있는 지를 확인합니다. (오른쪽 상단에 있는 검색창을 통해 검색할 수 있습니다) 만약에 있다면, 해당 프로세스를 더블 클릭 한 뒤 ‘파일 및 포트 열기’ 탭에서 ‘/Users//Library/kernel_service’ 라는 파일이 있는 지 확인합니다. 만약에 있다면 곧바로 프로세스를 종료시키고, 타임머신 백업을 한 상황이라면 타임머신을 통해 5일 이전의 백업으로 복구해야 합니다.

보다 자세한 랜섬웨어 제거 방법은 여기서 볼 수 있습니다.

다만, 랜섬웨어가 어떤 경로로 트랜스미션 개발팀 컴퓨터에 유입되었는지에 관해선 언급이 없었습니다. 외신들은 오픈소스 소프트웨어의 특성상 트랜스미션이 차용한 외부 소스코드에 악성코드가 심어져 있었을 것으로 추측하고 있습니다.

업데이트 : 트랜스미션 2.91 버전 다음에 나온 2.92 버전은 랜섬웨어 감염유무를 체크하고, 만약 감염되었으면 이를 완벽하게 제거해 주는 기능이 포함되어 있다고 합니다. 이에 2.90 버전을 설치한 분은 반드시 트랜스미션 공식 웹사이트를 통해 2.92 버전을 내려받은 후 실행하시기 바랍니다. 앞서 나온 2.91 버전은 앱에서 랜섬웨어가 제거되었을 뿐 랜섬웨어를 치료하지 못합니다. 따라서 2.91 버전 사용자도 2.92 버전으로 필히 업데이트할 필요가 있습니다.

Napkin_5_16._03._07._%EC%98%A4%EC%A0%84_11.58.15

애플이 6일 배포한 XProtect 블랙리스트 v2076부터 OSX.KeRanger.A 차단

한편, 맥 사용자를 겨냥한 첫 랜섬웨어에 긴장했는지 애플도 6일(현지시각) OS X의 보안 기능인 XProtect 블랙리스트를 업데이트하여 트랜스미션 2.90 버전 설치를 원천차단했습니다. 하지만, 이미 랜섬웨어에 감염된 상황에서는 타임머신을 이용해 트랜스미션 2.90 버전이 설치되기 전으로 데이터를 복구하거나, 시스템 깊숙이 숨어 있는 랜섬웨어 관련 파일을 사용자가 직접 삭제하거나, 트랜스미션 2.92 버전을 실행해 제거해야 합니다.


참조
Palo Alto Networks – New OS X Ransomware KeRanger Infected Transmission BitTorrent Client
맥용 트랜스미션에서 발견된 ‘KeRanger’ 랜섬웨어 감염여부 진단과 해결방법

관련 글
맥용 애드웨어 제거 도구 ‘Malwarebytes Anti-Malware’
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 ‘XProtect’

ONE™
글쓴이 | One_tm

애플에 대한 이야기를 공유하는 Back to the Mac 블로그를 운영하고 있습니다~
You may also like
애플 아이폰 X의 부품 가격은 412.75달러로 추정
올해 구글로부터 30억 달러를 받게 될 애플
12년 만에 아이팟 셔플과 나노 단종하는 애플
타블렛과 PC, 그 어디쯤에서 발견하게 될 아이패드 프로 10.5