애플 맥 사용자 목표로 한 첫 랜섬웨어 등장... 맥용 토렌트 클라이언트 '트랜스미션(Transmission)' 통해 유포

2016.03.07 11:22    작성자: ONE™

맥 사용자를 노린 랜섬웨어가 최초로 등장해 사용자들의 각별한 주의가 요구되고 있습니다.

나인투파이브맥과 맥루머스 등의 주요외신들은 보안업체 팔로알토네트웍스를 인용해 맥 사용자를 노린 랜섬웨어가 처음으로 발견됐다고 6일(현지시간) 보도했습니다.

'랜섬웨어(Ransomware)'는 이용자의 동의 없이 파일을 잠구고 이를 풀어주는 대신 금전적인 대가를 요구하는 해킹 공격기법을 뜻합니다. 팔로알토네트웍스에서 발견한 이번 랜섬웨어는 맥용 토렌트 클라이언트인 '트랜스미션(Transmission)' 2.90 버전에서 발견된 것으로 ‘KeRanger’라고 명명됐습니다.

사용자가 트랜트미션 공식 사이트에서 내려받은 2.90 버전을 설치하면 3일 동안은 아무런 문제를 일으키지 않습니다. 하지만 3일의 잠복기를 끝내면 해커의 서버에서 암호화 키를 내려받고 컴퓨터의 '/Users' '/Volumes/' 폴더 아래 있는 문서와 이미지, 동영상, 음악, 압축 파일 등을 암호화하여 사용자가 접근할 수 없도록 만듭니다. 심지어 OS X의 백업 솔루션인 '타임머신'도 사용자가 접근하지 못하도록 만들 수 있다고 합니다.


* "백그라운드에 kernel_service 프로세스를 심은 후 잠복기 3일 뒤 시스템 주요 폴더를 암호화" -Palo Alto Networks


* 랜섬웨어에 의해 무단으로 암호화되는 파일 유형 - Palo Alto Networks

이후 해커는 피해자에게 암호화 된 데이터를 풀 수 있는 열쇠 프로그램을 전송해 준다며 400달러 상당의 비트코인을 요구하는 것으로 알려졌습니다. 아직 구체적인 피해사례는 나오지 않았지만, 트랜스미션 2.90 버전이 지난 5일에 출시됐으니 3일의 잠복기가 끝나는 오늘부터는 실제로 피해가 일어날 가능성을 배제할 수 없습니다.

트랜스미션 개발팀 측은 6일(현지시각) 자사 웹사이트에 트랜스미션이 랜섬웨어에 감염되었다는 경고를 올리는 한편, 해당 문제를 해결한 버전 2.91로 즉각 업데이트할 것을 당부했습니다.

아울러 맥이 랜섬웨어에 감염됐는 지 확인하는 방법도 같이 공지했습니다. 응용 프로그램 > 유틸리티 > 활성 상태 보기 앱을 켜서 ‘kernel_service’라는 프로세스가 돌아가고 있는 지를 확인합니다. (오른쪽 상단에 있는 검색창을 통해 검색할 수 있습니다) 만약에 있다면, 해당 프로세스를 더블 클릭 한 뒤 ‘파일 및 포트 열기’ 탭에서 '/Users//Library/kernel_service' 라는 파일이 있는 지 확인합니다. 만약에 있다면 곧바로 프로세스를 종료시키고, 타임머신 백업을 한 상황이라면 타임머신을 통해 5일 이전의 백업으로 복구해야 합니다.

다만, 랜섬웨어가 어떤 경로로 트랜스미션 개발팀 컴퓨터에 유입되었는지에 관해선 언급이 없었습니다. 외신들은 오픈소스 소프트웨어의 특성상 트랜스미션이 차용한 외부 소스코드에 악성코드가 심어져 있었을 것으로 추측하고 있습니다.

업데이트: 트랜스미션 2.91 버전 다음에 나온 2.92 버전은 랜섬웨어 감염유무를 체크하고, 만약 감염되었으면 이를 완벽하게 제거해 주는 기능이 포함되어 있다고 합니다. 이에 2.90 버전을 설치한 분은 반드시 트랜스미션 공식 웹사이트를 통해 2.92 버전을 내려받은 후 실행하시기 바랍니다. 앞서 나온 2.91 버전은 앱에서 랜섬웨어가 제거되었을 뿐 랜섬웨어를 치료하지는 못합니다. 따라서 2.91 버전 사용자도 2.92 버전으로 필히 업데이트할 필요가 있습니다.


* 애플이 6일 배포한 XProtect 블랙리스트 v2076부터 OSX.KeRanger.A 차단

한편, 맥 사용자를 겨냥한 첫 랜섬웨어에 긴장했는지 애플도 6일(현지시각) OS X의 보안 기능인 XProtect 블랙리스트를 업데이트하여 트랜스미션 2.90 버전 설치를 원천차단했습니다. 하지만, 이미 랜섬웨어에 감염된 상황에서는 타임머신을 이용해 트랜스미션 2.90 버전이 설치되기 전으로 데이터를 복구하거나, 시스템 깊숙이 숨어 있는 랜섬웨어 관련 파일을 사용자가 직접 삭제하거나, 트랜스미션 2.92 버전을 실행해 제거해야 합니다.



참조
Palo Alto Networks - New OS X Ransomware KeRanger Infected Transmission BitTorrent Client
The Gear - 시스템 잠그고 몸값 노리는 맥용 랜섬웨어 첫 발견

관련 글
• 맥용 토렌트 클라이언트 '트랜스미션' 2년여 만에 개발 재개
맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'

저작자 표시 비영리 변경 금지
신고
    
  1. 이전 댓글 더보기
  2. Blog Icon
    PRESS

    거의 매일 쓰는앱인데 지금보니 2.9가 깔려있네요
    급히 업데이트 했습니다.

  3. Blog Icon
    광호

    kernel_task
    kernelEventAgent 만 잇네요 다행이네요

  4. Blog Icon
    vinipapa

    나도 무슨 맘인지 그날 설치했는데 집에 가면 얼른 제거해야 할 듯 ...
    정작 토렌트는 사용하지도 않으면서 S/W 최신병?에 걸려서 ㅠㅠ

  5. Blog Icon
    평군

    타임머신 접근은 안 되는데 제 경우는 재설치 후 타임머신 마이그레이션은 되었습니다. 혹시 저와 같은 상황일지도 모르니 포기하고 클린설치하신 분들은 마이그레이션 시도해보세요.

  6. Blog Icon
    sf49ers

    아이고 놀래라. 타임머신 냉큼 하는 중입니다. ㅋ

  7. Blog Icon
    호니빠다칩

    어이구야 올게왔네요..

  8. 아...열받네요. 왜 작동일인 오늘에서야 올라온거지... 자동업데이트 3일 전에 했는데 지금 밖이라서 확인도 못하고 열받네요

  9. Blog Icon
    이런젠장

    지난 일요일 1~2시경에 설치했다가 실행시켜보고 바로 지웠는데.이런일이....

    3일이후부터라면 저는 화요일 자정이 넘어서야 증상이 나오는 거겠죠?

    아직까진 설명해준데로 파일이 발견되거나 커널_서비스가 실행 안되고
    트렌스키션2.92 버전을 작동 시켜도 별 다른 반응이 없는거보니까요.......

  10. Blog Icon
    투명인간

    뮤토렌트와는 관계없는 내용인가요?

  11. Blog Icon
    베테랑

    업데이트하면 괜찮아지는건가요? 아니면, 업데이트해도 감염에 대한 가능성을 여전히 지울수는 없는건가요?

  12. Blog Icon

    ㅡㅡㅡㅡ 이상 불법 다운로더들의 눈물의 ㄷㄷㄷ이었습니다. ㅡㅡㅡㅡ
    ㅡ 저는 정품 어플 구매자, 프리미엄 구독자, 드라마 및 예능 방송국 유료회원, 영화 dvd 수집자. 음악 멜론 유료회원. 스팀, 밸브 유저. ㅋ

    ps. 토렌트는 그어떤 이유를 막론하든 '불법' 행위입니다. ㅎ
    한편으론 잘됐다는 생각도 드네요. 일벌백계의 표본이 되었을테니.

  13. Blog Icon

    훗 타임머신~

  14. 토렌트는 그 어떤 이유를 막론하든 '불법'은 아닙니다.

    불법의 경우라면 명백하지요.
    토렌트를 이용 저작권이 있는 파일을 다운로드 받았을 때, 그때가 불법입니다.

  15. Blog Icon

    너무 나가신듯합니다... 유료로 정당히 이용하시는게 많으신것에 당당하신것은 좋으나 일반화로 남의 불행을 비웃으시다니요..

  16. Blog Icon
    양파양파

    요즘 온라인게임 클라이언트를 토렌트로 배포하는 경우도 있는데 무슨 근거로 토렌트는 무조건 불법이라고 하시는지...

  17. Blog Icon

    토렌트가 불법이라니요? 그리고 랜섬웨어가 한편으론 잘됐다니요? 엄청나게 삐뚤어진 시각을 갖고 계신듯... 성인의 시각이라면 안타까움을 느낍니다... 그런 시각을 어떻게 갖게 된 것인지...

  18. Blog Icon
    Jooo

    Ubuntu나 Kali linux와 같은 메이져 Linux 배포판들도 토렌트를 통해 이미지파일을 배포합니다. 협소한 지식과 시각으로 이불킥거리를 만들지 맙시다..

  19. Blog Icon
    PRESS
  20. Blog Icon
    평군

    이불킥 각이시네요. 토렌트가 불법인줄 아셨나보군요.
    혹시 아이폰 탈옥하면 불법이라고 생각하시는 분이실까요.

  21. Blog Icon
    땡입니다.

    잘 모르시면 최소한 공부 하시고 댓글 다셨으면 좋겠네요..

  22. Blog Icon
    ㅇㄹㅇ

    정돌이라서 좋겠수다 ㅋㅋㅋㅋㅋㅋ 난 복돌짓으로 한 1000만원은 아낀듯 ㅎㅎㅎㅎ

  23. Blog Icon
    ;;

    어떤 이유를 막론하고라도 랜섬웨어가 불법이겠죠 좀 자극적인 말해서 튀고싶고 그래요? 현실에서 얼마나 하류인생이면 인터넷에서 이럴까..

  24. Blog Icon
    멍청하다.

    가만히있으면 중간이라도 간다는말이 괜히 있는게 아닙니다.
    상당히 멍청하신분이네요

  25. 확인은 해봐야 겠습니다만 인앱 업데이트는 괜찮다고 하는 것 같습니다.

  26. Users who have directly downloaded Transmission installer from official website after 11:00am PST, March 4, 2016 and before 7:00pm PST, March 5, 2016, may be been infected by KeRanger.
    태평양 표준시 기준 3월 4일 11시부터 3월 5일 7시 사이에 웹사이트를 통해 인스톨러를 직접 받은 사람들에게 해당되는 것 같습니다.

  27. Blog Icon
    차세대

    말씀하신거 보니 좀 안심이 되네요~
    3.2일날에 받았는데 아직까진 문제가 없고
    kernel_service 프로세스 검색도 안되는거 보니..

  28. Blog Icon
    mokruode

    리브레 오피스는 설치 파일을 토렌트로 제공합니다. 토렌트 사용 자체는 불법이 아니죠.

  29. Blog Icon
    차세대

    3.1일 원님 트랜스미션 개발 재개 포스팅 보고 다운 받았는데
    현재 5~6일이 지났어도 문제를 못느낀다면 정상인거겠죠?
    또한 활성상타보기와 파인더에서 "kernel_service" 검색해봐도 나오지 않구요..
    문제가 없다면 다행인데..
    위에 댓글 다신분도 3.4~5일 사이라고 하시고..

    저같은 경우 문제가 없는 경우도 그냥 2.90 버전으로 냅두기 보다 2.92버전으로 업뎃하는게 나을까요?

  30. 문제가 없어도 만일을 위해서 업데이트 하는게 낫지 않을까요?

  31. Blog Icon
    삽교농부

    사무실에서 일하다가 소식을 듣고 급히 집으로 달려가 2.92버젼으로 업데이트 했습니다. 집컴퓨터에 없어지면 큰 타격인 파일들이 많아서...혹시나 해서 원님께서 말씀하신대로 화성상태 보기로 체크해 보았는데 다행히 없네요. 한 숨 놓았습니다. 이제 다시 사무실로 돌아가서 일해야겠네요.

  32. Blog Icon
    김듀공

    저는 트랜스미션 gui만을 이용해서 서버에있는 트랜스미션을 사용하고 있는데요...

    트랜스미션 gui도 해당되는건가요?

  33. 윈도우/리눅스/GUI 버전에 관해서는 아무런 얘기가 없는 걸로 보아
    OS X 버전만 해당하는 것 같습니다.

  34. Blog Icon
    개구리

    아 죽이는 공포영화 한편 본 기분... 업데이트 완료입니다.;;;

  35. Blog Icon
    와룡서생

    불과 몇일전에 2.90을 받았고 한번 사용했었는데 다행히도 별증상이 없었고 지금 2.92로 업데이트 했습니다. 후덜덜 하네요..;;

  36. Blog Icon
    와룡서생

    OpenSSL에 이어 오픈소스는 안전하다는 미신이 깨지는군요.

    제대로 감시하지 않거나 관리되지 않는 오픈소스는 트로이의 목마...;;