Пало Алто Мрежи открива Ransomware намерно Macs
На 4 март 2016 година, Пало Алто Мрежи, позната безбедносна фирма, го објави своето откритие за KeRanger ransomware кој го инфицира Transmission, популарниот Mac BitTorrent клиент. Вистинскиот малвер беше пронајден во рамките на инсталерот за пренос верзија 2.90.
Веб-страницата на Transmission брзо го симна инфицираниот инсталатор и повикува секој да користи пренос 2.90 за да се ажурира до верзија 2.92, која е потврдена од страна на пренос за да биде ослободена од KeRanger.
Преносот не разговараше за тоа како заразениот инсталетер можеше да биде домаќин на нивната веб-страница, ниту пак Palo Alto Networks беше во можност да утврди како е загрозена локацијата за пренос.
KeRanger Ransomware
На KeRanger ransomware работи како што повеќето ransomware не, со шифрирање на датотеки на вашиот Mac, а потоа барајќи плаќање; во овој случај, во форма на bitcoin (во моментов се проценува околу 400 долари) за да ви обезбеди клуч за шифрирање за да ги вратите вашите датотеки.
KeRanger ransomware е инсталиран од компромитираниот инсталатор за пренос. Инсталаторот користи валиден сертификат за програмери за Mac, овозможувајќи инсталација на ransomware да лета покрај технологијата Gatekeeper на OS X , која спречува инсталирање на малициозен софтвер на Mac.
Откако ќе се инсталира, KeRanger ќе воспостави комуникација со далечински сервер во Tor мрежата. Потоа спие три дена. Откако ќе се разбуди, KeRanger го прима клучот за шифрирање од оддалечениот сервер и продолжува да шифрира датотеки на заразениот Mac.
Датотеките шифрирани ги вклучуваат оние во папката / Users, што резултира во повеќето кориснички датотеки на заразениот Mac да станат шифрирани и неупотребливи. Покрај тоа, Palo Alto Networks известува дека папката / тома, која ја содржи точката на монтирање за сите прикачени уреди за складирање, и локални и на вашата мрежа, исто така е цел.
Во тоа време има мешани информации во врска со резервната копија Time Machine кои се шифрирани од KeRanger, но ако папката / тома е насочена, не гледам причина зошто уредот Time Machine нема да биде шифриран. Моја претпоставка е дека KeRanger е како нов дел од ransomware дека мешаните извештаи за Time Machine се едноставно грешка во кодот ransomware; понекогаш тоа функционира, а понекогаш и не.
Јаболко реагира
Пало Алто Мрежи известија за KeRanger ransomware на Apple и Transmission. Двајцата реагираа брзо; Епл го одзеде сертификатот за програмери на Mac за апликации што ги користел апликацијата, со што им овозможи на Gatekeeper да ги запре понатамошните инсталации на тековната верзија на KeRanger. Епл, исто така, ги ажурира потписите на XProject, дозволувајќи системот за превенција од малициозен софтвер OS X да го препознае KeRanger и да ја спречи инсталацијата, дури и ако GateKeeper е оневозможена или е конфигуриран за поставка со ниска безбедност.
Пренос е отстранет Пренос 2.90 од нивниот веб-сајт и брзо повторно издаде чиста верзија на пренос, со број на верзијата од 2.92. Ние исто така можеме да претпоставиме дека гледаат како нивната веб-страница е компромитирана и презема мерки за да се спречи повторно да се случат.
Како да се отстрани KeRanger
Запомнете, преземањето и инсталирањето на инфицираната верзија на апликацијата Пренос е моментално единствениот начин за стекнување на KeRanger. Ако не користите пренос, во моментов не треба да се грижите за KeRanger.
Додека KeRanger уште не ги шифрира датотеките на вашиот Mac, имате време да ја отстраните апликацијата и да спречите појава на енкрипција. Ако датотеките на вашиот Mac се веќе шифрирани, нема многу што можете да направите, освен ако вашите резервни копии не се криптирани исто така. Ова укажува на многу добра причина за создавање резервна копија која не е секогаш поврзана со вашиот Mac. Како пример, јас го користам Carbon Copy Cloner за да направам неделен клон на податоците на мојот Mac . Уредот кој го сместува тој клон не е монтиран на мојот Mac додека не биде потребен за процесот на клонирање.
Доколку наидов на ситуација со ransomware, би можела да се опорави со враќање од неделниот клон. Единствената казна за користење на неделниот клон е да имате датотеки што може да бидат застарени до една недела, но тоа е многу подобро отколку да платите некој злобен кретен на откуп.
Ако се најдете во несреќната ситуација на KeRanger веќе ја подигна својата стапица, знам дека нема излез, освен или да ја плати откупната или повторно вчитај OS X и да почнеме со чиста инсталација .
Отстрани пренос
Во Пронаоѓачот , отидете до / Апликации.
Пронајдете ја апликацијата за пренос, а потоа кликнете со десното копче на нејзината икона.
Од менито што се појавува, одберете Show Package Contents.
Во прозорецот Пронаоѓач што се отвора, одете до / Содржина / ресурси /.
Побарајте датотека со ознака General.rtf.
Доколку датотеката General.rtf е присутна, имате инфицирана верзија на пренос инсталиран. Ако апликацијата за пренос работи, престанете со апликацијата, повлечете ја во ѓубрето, а потоа испразнете го ѓубрето.
Отстрани го KeRanger
Стартувај Activity Monitor , лоциран во / Applications / Utilities.
Во Activity Monitor, одберете го процесорот табот.
Во полето за пребарување на Activity Monitor, внесете го следново:
kernel_serviceи потоа притиснете го враќањето.
Ако услугата постои, таа ќе биде наведена во прозорецот Activity Monitor.
Ако е присутна, кликнете двапати на името на процесот во Activity Monitor.
Во прозорецот што се отвора, кликнете на копчето Отвори датотеки и портови.
Направете белешка за патеката на kernel_service; тоа најверојатно ќе биде нешто како:
/ корисници / homefoldername / библиотека / kernel_serviceИзберете ја датотеката, а потоа кликнете на копчето Quit.
Повторете погоре за kernel_time и kernel_complete имињата на сервисите.
Иако ги напуштате услугите во рамките на Activity Monitor, исто така треба да ги избришете датотеките од вашиот Mac. За да го направите тоа, користете ги патеките на датотеките што сте ги направиле за да отидете до kernel_service, kernel_time и kernel_complete датотеките. (Забелешка: Можеби немате сите овие датотеки присутни на вашиот Mac.)
Бидејќи датотеките што треба да ги избришете се наоѓаат во папката Библиотека во вашата домашна папка, ќе треба да ја направите оваа специјална папка видлива. Можете да најдете инструкции за тоа како да го направите ова во написот на OS X Is Hide Your Library Folder .
Откако ќе имате пристап до папката Библиотека, избришете ги споменатите датотеки со влечење во ѓубрето, потоа кликнете со десното копче на иконата за ѓубрето и изберете Empty Trash.