[무료] 맥용 랜섬웨어 예방 프로그램 'RansomWhere'

2016.04.23 20:03    작성자: ONE™


RansomWhere (무료)

지난달 맥에도 처음으로 '랜섬웨어(RansomWare)'가 등장해 사용자들을 바싹 긴장시킨 바 있습니다.

맥용 토렌트 클라이언트인 '트랜스미션'을 통해 시스템에 침투한 뒤, 문서와 데이터 파일을 암호화하고, 이를 풀기 위해 피해자에게 금전을 요구하는 '키레인저(KeRanger)'라는 랜섬웨어였습니다.

이 랜섬웨어가 특히 위험한 이유는 맥 사용자가 백업 데이터를 복구하지 못하도록 타임머신 백업 파일에 대한 암호화까지 시도한다는 점입니다. 따라서 랜섬웨어가 일단 작동하기 시작하면 속수무책으로 중요 문서를 잃거나 막대한 비용을 지불해야 하고, 설령 지불한다 해도 순수히 복구해 줄지 여부도 미지수였습니다. 다행히 취약점이 노출된 이후 트랜스미션 개발팀과 애플이 신속히 해결책을 내놓으면서 사태가 일단락됐고, 랜섬웨어에 대한 피해도 없는 것으로 알려져 있습니다.

문제는 이번 같은 사태가 언제 다시 불거질지 모른다는 점입니다. 랜섬웨어 작동 원리가 비교적 단순한데다, 숙주가 되는 앱만 바꿔서 다시 유포될 가능성이 있기 때문입니다. 이에 사용자 스스로가 경각심을 갖고, 컴퓨터 보안에 각별한 주의를 기울여야 합니다.

그리고 이번에 소개해 드리는 보안 프로그램도 랜섬웨어 방지에 도움이 될 수 있습니다.

랜섬웨어 작동 차단 프로그램 'RansomWhere'

'RansomWhere'는 전직 미국 국가안보국(NSA) 직원이자, 현재 사이낵이라는 보안업체에서 연구원으로 활동하고 있는 '패트릭 워들'이 개발한 랜섬웨어 차단 프로그램입니다.

맥에 프로그램을 설치하면 컴퓨터 메모리에 상주하면서 시스템을 실시간으로 모니터링합니다.

그러다 어떤 프로세스가 대량의 파일을 암호화하기 시작하면 이를 차단하는 동시에 사용자에게 경고 메시지를 통해 알려줍니다. (위 사진)

사용자도 모르는 사이에 파일이 암호화됨으로써 어쩔 수 없이 대가를 지불해야 하는 불상사를 사전에 예방할 수 있는 것입니다. 만약 파일 암호화가 랜섬웨어에 의한 것이 아니라, 사용자가 인지하고 있는 정상적인 프로세스라면 '승인' 버튼을 눌러 작업을 속개할 수 있습니다.

프로그램은 아래 링크를 통해 상시 무료로 내려받을 수 있습니다.

내려 받은 파일의 압축을 풀면 RansomWhere이라는 파일이 나오는데. 이 파일을 실행한 뒤 'Install' 버튼을 누르면 맥을 실행할 때마다 랜섬웨어 작동을 감지하는 백그라운드 프로세스가 같이 시작됩니다.

자체 알고리즘을 통해 랜섬웨어 작동 여부를 감지하므로 백신 프로그램과 달리 주기적으로 데이터베이스를 업데이트할 필요가 없습니다. 개발자에 따르면 키레인저와 유사한 방식(시스템 유입 후 일정 시간 뒤에 시스템 커널을 이용해 파일을 암호화하는 방식)이라면 이 프로그램으로 작동을 확실히 억제할 수 있다고 합니다. 그냥 설치만 해 두고 잊어버리면 된다는 것입니다. *프로그램의 기술적 노하우와 작동 방식은 공식 웹사이트에서 더욱 자세히 확인할 수 있습니다.

프로그램을 삭제하고 싶을 때는 언제든 앞서 내려받은 RansomWhere 파일을 다시 실행한 뒤 'Uninstall' 버튼을 누르면 됩니다. 그러면 다음 부팅때부터는 프로세스가 자동 실행되지 않습니다. 이후 RansomWhere는 휴지통에 삭제하면 됩니다.

혹시 프로세스가 시스템 자원을 너무 많이 사용하지 않는지 점검해 봤는데, 파일을 복사하거나 이동할 때만 CPU 점유율이 살짝 올라가고 평상시에는 0%를 유지합니다. 메모리 사용량도 30MB 수준으로 비교적 낮은 편입니다.

코멘트 & 다운로드

몇 달 전 지인의 윈도우PC가 랜섬웨어에 감염돼 중요한 문서와 몇 년동안 찍은 소중한 사진이 날아갔다며 허탈해 하던 모습이 기억이 납니다. 영화에서나 보던 일이 이제 흔한 것이 돼버린 건가 싶어서 참 섬뜩하더군요. 게다가 맥 사용자들을 노린 랜섬웨어까지 등장하면서 이러다 저도 같은 문제를 겪는 것 아닌가 하는 불안감이 생겼습니다.

그렇다고 컴퓨터와 인터넷을 쓰지 않을 수도 없는 노릇이고, 피해를 당하는 일이 없도록 스스로 주의하는 수 밖에는 없습니다. 특히 랜섬웨어는 한번 작동하면 복구가 불가능하다고 봐야하기 때문에 무엇보다도 예방이 중요하다고 합니다. 

랜섬웨어뿐만 아니라 모든 보안 위협으로부터 컴퓨터를 지키는 가장 좋은 방법은 중요한 파일을 항상 여러 군데 백업해 놓는 것입니다. 그리고 수상한 이메일 첨부파일을 열지 말고, 앱을 내려받을 때도 가급적이면 공식 사이트를 방문하는 것이 바람직합니다.

하지만 트랜스미션 사태에서 볼 수 있듯이 전혀 생각지 못한 방법과 루트로 랜섬웨어가 침투할 수 있으므로, 이런 프로그램으로 랜섬웨어 예방에 만전을 기하는 것도 좋아 보입니다.

Download RansomWhere $0.00



참조
RansomWhere 공식 웹사이트

관련 글
애플 맥 사용자 목표로 한 첫 랜섬웨어 등장
랜섬웨어에 대해 알아야 할 5가지
맥용 안티바이러스 제품 13종 2015 AV-Test 결과
• 맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'

저작자 표시 비영리 변경 금지
신고
    
  1. Blog Icon
    min

    감사합니다. 다운 받아서 설치합니다. ^^

  2. Blog Icon
    욱맥

    감사합니다 맥도 이젠 안전지대가 아니군요. 시놀에서의 토렌트도 불안해집니다.

  3. Blog Icon
    오레오레

    감사합니다. 바로 설치했습니다.

  4. Blog Icon
    흠..

    감사합니다. 랜섬웨어만 막아도 상당부분 피해를 막을수 있기 때문에 상당히 유용할것 같네요.

  5. Blog Icon
    ???

    이 프로그램은 시스템 리소스를 얼마나 쓰는 건가요?

  6. Blog Icon

    포스팅 본문 이미지에 나와있습니다~ 별로 안쓰네요

  7. Blog Icon
    pelos

    감사합니다. 저도 설치했습니다.

  8. Blog Icon
    

    아이튠스 로컬 백업을 암호화하도록 설정한 경우에는, 아이튠스 백업할 때 에러가 발생합니다. 아이튠스에서 백업을 완료하고 파일을 암호화해 저장할 때 팝업창이 나와서 허용할 것인지 물어보지도 않고, 바로 백업 에러가 발생합니다. 제거하니까 백업이 잘 되는 걸로 보아 RansomWhere의 버그가 맞는 것 같습니다.
    아쉽지만, QA를 제대로 하는 백신 프로그램에 의존하는 것이 나을 것 같네요.

  9. 아이튠즈 암호화 기능과 충돌이 있나 보군요.
    앱이 잘 작동한다는 일종의 반증 같기도 한데요. 버그는 버그이니 개발자에게 한 번 피드백을 넣어보겠습니다.

  10. Blog Icon
    지나가는 사람들

    백신으로도 감지가 힘들어서 이 프로그램이 나온겁니다.

  11. Blog Icon
    넘버원

    저도 윈도우를 사용하다 랜섬웨어로 무두 날린적이 있습니다. 머리속이 하햫게 되고 어찌할 바를 모르겠더군요. 액으로 바꾼 이유인데 이젠 맥도 차단 프로그램이 꼭 필요해졌군요. 아직도 그때를 생각하면 섬뜩합니다. 맥도 이런게 필요한 것을 알았으니 꼭 설치를 해야겠습니다. 감사합니다.

  12. Blog Icon
    aaapple

    참고로, 매버릭은 지원하지 않아서 설치가 되지 않는군요.
    참고하세요.

  13. Blog Icon
    Julio

    Steam이나 IntelliJ(개발용 프로그램) 구동시에도 팝업창이 뜨던데요, 단순히 프로그램이 파일을 암호화하려고 할때 팝업이 뜨는 건가요? 자주 사용하는 프로그램에서 이렇게 팝업이 뜨니 Allow를 눌러야하는건지 상당히 불안했습니다. ㅜㅜ 자세한 작동원리가 궁금하네요~
    항상 좋은 소식 감사드립니다.

  14. 감지된 파일 암호화 프로세스가 랜섬웨어에 의한 것인지, 정상적인 앱에 의한 것인지 순전히 사용자의 판단에 의존하는 까닭에 말씀하신 대로 불편한 부분이 조금 있는 것 같습니다. 차후에 화이트/블랙 리스트 같은 기본적인 관리 기능이 추가되길 기대해 봐야 겠네요.

  15. Blog Icon
    지나가는 사람들

    위의 링크로 들어가시면 프로그램 홈페이지 자세한 작동원리가
    적혀있습니다.

  16. Blog Icon
    현이짱v

    좋은 정보 감사합니다!! 설치했어요 ㅋㅋ

  17. Blog Icon
    코리아

    혹시 한글 지원 여부 알 수 있을까요?

  18. Blog Icon
    살치살

    감사합니다. 바로 설치했어요! ㅎㅎㅎ

  19. Blog Icon
    여누

    안녕하세요 이 프로그램을 설치한 이후 팝업창이 뜨거나 하는 일이 없어서 까맣게 잊고 있다가 얼마전부터 지속적으로 1.1.0 버전으로 업데이트하라는 팝업창이 뜨기 시작했습니다. 그래서 업데이트를 누르면 항상 사파리를 실행하려다 말고 멈춥니다. 활성상태보기에서 응답없는 사파리를 종료하고 나서야 사파리를 사용할 수 있습니다. 그래서 계속 무시해오다 팝업이 성가시고 문제가 있는 것도 같아 홈페이지에 들어가 앱을 다시 다운받아 삭제하려고 하니 다운로드도 안되고 있습니다.

  20. Blog Icon
    브릿발

    저도 동일한 증상입니다.
    업데이트 팝업이 떠서 진행하면 사파리 응답 없음으로 멈춰버리네요.

  21. Blog Icon
    오달자

    업데이트 무시하다 오늘 업데이트 했습니다. 처음에 팝업창 떴을때 사파리 응답이 없어 강제종료 하고 공식 홈피 가서 다운받아 업데이트 했어요. 혹시 안되시는 분 있으시면 공식 홈피 들어가셔서 다운 받으시면 됩니다.^^

  22. Blog Icon
    아우

    백신사용중일때 경고창 발생 빈도가 너무 잦습니다.

    삭제를 해보려고 설치 파일을 열어봤지만 설치 과정 안내만 나오고 삭제는 없네요.

    삭제 방법 좀 알려주세요.

  23. 앱을 처음 실행할 때와 정반대로 'Uninstall' 버튼을 누르시면 됩니다. 이후 필요 없어진 앱을 휴지통으로 이동해 삭제하시면 됩니다.

  24. Blog Icon
    아우

    http://imgur.com/a/rvD1r

    답변 감사합니다.

    삭제하는 방법은 인지하고 있습니다. 어째서인지 저는 위 링크 이미지처럼 표시가 됩니다. 공식 홈페이지에 설명되어있는 설치, 삭제 창이 안 뜨고요.

    분명 이전 버전 설치할 때에는 설명과 동일한 창이 나타났었던 걸로 기억하는데 지금은 dmg, pkg 파일 둘다 실행시키면 스크린 샷과 같은 창이 떠서 삭제 과정이 안 나옵니다.

    파인더와 앱크리너에서 ransom을 키워드로 검색해봤지만 따로 뜨는 것이 없어서 어떻게 삭제해야하나 난감합니다.

  25. 말씀 듣고 공식 사이트를 확인해 봤는데요.
    최근에 나온 1.1 버전부터 삭제 방법이 완전히 달라졌더군요. 1.0 버전은 응용 프로그램 폴더에 앱이 설치되고, 이를 실행해 삭제할 수 있었는데
    1.1 버전은 실행 파일 없이 바이너리 형태로만 작동하고, 삭제 방법도 터미널 명령어를 입력하는 방식으로 바뀌었습니다.
    터미널을 실행하신 후 다음 명령어를 입력해 보세요.
    sudo RansomWhere.app/Contents/MacOS/RansomWhere -uninstall

  26. Blog Icon
    아우

    답글 확인이 늦었습니다.
    친절한 설명 감사합니다.

    알려주신대로 터미널에 명령어 넣고 비밀번호 입력하니 명령을 찾을 수 없다고 하네요.
    아마도 경로가 다른것 같습니다.

    이 정도까지 도와주셨는데 해결이 안 되면 어쩔 수 없겠죠.

    맥북 구입하고 모르는게 많았는데 언제나 블로그에서 많은 정보 얻고 있습니다. 감사합니다.

  27. 클린설치하고 새로 이 프로그램을 설치하려고 했는데..
    바이너리 파일로 바뀐 줄 알았더니 아니네요~

    제공되는 방법이 총 3가지입니다.

    1) RansomWhere.app이 포함되어있는 zip파일
    2) pkg가 포함된 dmg파일
    3) pkg파일

    zip파일 같은 경우에는 상단 링크에 없네요. 왜 이렇게 해놨는지 모르겠지만..

    zip파일 다운로드 링크 위치는
    --
    To install RansomWhere? and gain continual protection, first download the zip archive containing the application.
    --
    이 문구를 검색해보시면 download문자에 bold처리와 함께 링크가 걸려있는걸 확인하실 수 있습니다.

    저도 찾느라 고생했네요.

    아래 commandline 명령어들은 UI를 사용하지 않고도 RansomWhere 설치 및 삭제 등이 가능하다라는걸 설명하는 것 같습니다.

    ps) 다운로드 링크를 직접 남기려했는데 스팸이라고 글이 안써지는군요..;; 버전도 1.1.0인거 확인했습니다~

티스토리 툴바