A Palo Alto Networks felfedezi a Ransomware Targeting Mac-eket
2016. március 4-én a Palo Alto Networks, egy jól ismert biztonsági cég feltalálta a népszerű Mac BitTorrent klienst a KeRanger ransomware fertőző átvitelről. Az aktuális rosszindulatú program megtalálható a 2.90-es verziójú telepítőben.
Az Átviteli weboldal hamar lefoglalta a fertőzött telepítőt, és sürgette bárkineket, akik a 2.90-es változatot használják, hogy frissítsék a 2.92-es verzióra, amelyet az átvitel igazolt a KeRanger-től.
Az átvitel nem tárgyalta, hogy a fertőzött telepítő hogyan lehet otthont adni a weboldalukon, és a Palo Alto Networks sem tudta meghatározni, hogy az átviteli webhely veszélyeztetett-e.
KeRanger Ransomware
A KeRanger ransomware úgy működik, mint a leginkább feltörő programok, a fájlok titkosítása a Mac rendszeren, majd fizetést követel; ebben az esetben egy bitcoin formájában (jelenleg körülbelül 400 dollár értékben), hogy megadja a titkosítási kulcsot a fájlok helyreállításához.
A KeRanger ransomware-t a kompromisszumos átviteli telepítő telepíti. A telepítő egy érvényes Mac-alkalmazásfejlesztői tanúsítványt használ, amely lehetővé teszi az iranmadarabok telepítését az OS X Gatekeeper technológiájának letele alatt , ami megakadályozza a rosszindulatú programok telepítését a Mac rendszeren.
A telepítés után a KeRanger kommunikációt létesít egy távoli szerverrel a Tor hálózaton. Ezután három napig alszik. Ha felébred, a KeRanger megkapja a titkosítási kulcsot a távoli kiszolgálóról, és továbbmódosítja a fertőzött Mac fájlokat .
A titkosított fájlok a / Users mappában lévő fájlokat tartalmazzák, ami azt eredményezi, hogy a fertőzött Mac legtöbb felhasználói fájlja titkosítva van, és nem használható. Ezenkívül a Palo Alto Networks azt is jelenti, hogy a / Volumes mappa, amely tartalmazza az összes csatlakoztatott tárolóeszköz csatolási pontját, mind a helyi, mind a hálózaton, szintén cél.
Jelenleg a KeRanger titkosítja a Time Machine biztonsági mentéseit, de ha a / Volumes mappa célzott, nem látok okot arra, hogy a Time Machine meghajtót nem lehet titkosítani. Gondolom, hogy a KeRanger egy ilyen új felszabadító szoftver, amely a Time Machine vegyes jelentései egyszerűen hiba a ransomware kódban; néha működik, és néha nem.
Az Apple reagál
A Palo Alto Networks bejelentette a KeRanger-ransomware-t mind az Apple, mind a Transmission számára. Mindkettő gyorsan reagált; Az Apple visszavonta az alkalmazás által használt Mac-alkalmazásfejlesztői tanúsítványt, így a Gatekeeper megakadályozhatja a KeRanger jelenlegi verziójának további telepítését. Az Apple szintén frissítette az XProject aláírásait, lehetővé téve az OS X kártevő-megelőző rendszer számára a KeRanger felismerését és a telepítés megakadályozását, még akkor is, ha a GateKeeper le van tiltva, vagy alacsony biztonsági beállításra van beállítva.
A továbbítás eltávolította a 2.90-es átvitelt a saját weboldaláról, és gyorsan továbbította a Transmission tiszta verzióját, amelynek verziószáma 2.92 volt. Azt is feltételezhetjük, hogy megvizsgálják, hogy webhelyük veszélybe került-e, és meghozta-e a lépéseket annak megakadályozására.
Hogyan távolítsák el a KeRangeret?
Ne felejtse el, hogy a Transmission alkalmazás fertőzött verziójának letöltése és telepítése jelenleg csak a KeRanger beszerzésének módja. Ha nem használja az átvitelt, jelenleg nem kell aggódnia a KeRanger-rel kapcsolatban.
Mindaddig, amíg a KeRanger még nem titkosította a Mac fájlokat, ideje megszüntetni az alkalmazást, és megakadályozza a titkosítás bekövetkezését. Ha a Mac fájlai már titkosítottak, akkor nem sok mindent tehet, kivéve azt a reményt, hogy a biztonsági másolatokat nem titkolták meg. Ez nagyon jó okot jelent arra, hogy olyan mentési meghajtót használjon, amely nem mindig kapcsolódik a Mac-hez. Példaként használom a Carbon Copy Cloner-t, hogy készítsen heti klónt a Mac adatairól . A meghajtóház, amelyik a klón, nincs felszerelve a Macre, amíg ez nem szükséges a klónozáshoz.
Ha beindítottam volna a felszabadítói helyzetet, akkor a javító klónból való visszaállításával tudtam volna helyreállni. Az egyetlen büntetés a heti klón használatához olyan fájlok, amelyek akár egy hétig is eltarthattak, de ez sokkal jobb, mint egy rettentő cretin fizetése.
Ha úgy találja magát, hogy a KeRanger szerencsétlen helyzetbe hozta a csapdáját, nem tudok semmit kimaradni, sem fizetni a váltságdíjat, sem az OS X újratöltését, és tiszta telepítéssel kezdeni .
Távolítsa el az átvitelt
A Finderben keresse meg a / Applications mappát.
Keresse meg az Átviteli alkalmazást, majd kattintson jobb gombbal az ikonjára.
A felbukkanó menüből válassza a Csomagtartalom megjelenítése lehetőséget.
A megnyíló Finder ablakban keresse meg a / Contents / Resources / elemet.
Keresse meg a General.rtf nevű fájlt.
Ha a General.rtf fájl jelen van, a telepített fertőzött verzió van telepítve. Ha az Átviteli alkalmazás fut, akkor lépjen ki az alkalmazásból, húzza a kukába, majd ürítse ki a szemetet.
Távolítsa el a KeRangeret
Indítsa el a Activity Monitor alkalmazást , amely az / Applications / Utilities alatt található.
A Tevékenységmonitoron válassza ki a CPU lapot.
A Tevékenységmonitor keresési mezőjében adja meg a következőket:
kernel_servicemajd nyomja meg a return gombot.
Ha a szolgáltatás létezik, az a Activity Monitor ablakában jelenik meg.
Ha jelen van, kattintson duplán a folyamat nevére a tevékenységmonitoron.
A megnyíló ablakban kattintson a Fájlok és portok megnyitása gombra.
Jegyezze fel a kernel_service elérési utat; valószínűleg valami ilyesmi:
/ users / homefoldername / Library / kernel_serviceVálassza ki a fájlt, majd kattintson a Kilépés gombra.
Ismételje meg a fentieket a kernel_time és a kernel_complete szolgáltatás nevekhez.
Bár bezárja a szolgáltatásokat a Activity Monitoron belül, törölnie kell a fájlokat a Mac számítógépéről is. Ehhez használja a megjegyzett fájlútneveket a kernel_service, a kernel_time és a kernel_complete fájlok eléréséhez. (Megjegyzés: Előfordulhat, hogy nem minden fájl jelen van a Mac rendszeren.)
Mivel a törölni kívánt fájlok a saját mappájuk Könyvtár mappáján vannak, akkor ezt a speciális mappát láthatóvá kell tenni. Az utasítások megtalálhatók az OS X elrejtése a könyvtár mappájában .
Miután elérte a Könyvtár mappát, törölje a fent említett fájlokat a kukába, majd kattintson a jobb gombbal a szemetet ikonra, és válassza az Üres törmelék lehetőséget.