Palo Alto Networks odkriva Ransomware ciljne Macove
4. marca 2016 je Palo Alto Networks, znano podjetje za varnost, objavilo odkritje KeRanger ransomware okužbe Transmission, priljubljenega odjemalca Mac BitTorrent. Dejanska zlonamerna programska oprema je bila najdena v programu za namestitev za prenos različice 2.90.
Spletno mesto prenosa je hitro odstranilo okuženega inštalaterja in poziva kogar koli, da uporablja prenos 2.90 za posodobitev na različico 2.92, ki je bila preverjena s prenosom, da je brez KeRangerja.
Prenos ni razpravljal o tem, kako je okuženega monterja lahko gostil na svoji spletni strani, prav tako pa Palo Alto Networks ni mogel ugotoviti, kako je bil prenosni računalnik ogrožen.
KeRanger Ransomware
KeRanger ransomware deluje kot večina ransomware s šifriranjem datotek na vašem računalniku Mac, nato pa zahtevo za plačilo; v tem primeru v obliki bitkoin (trenutno vrednoti okoli 400 USD), da vam zagotovimo šifrirni ključ za obnovitev datotek.
KeRanger ransomware je nameščen pri ogroženi namestitvi prenosa. Namestitveni program uporablja veljaven certifikat za razvijalce aplikacij za Mac, kar omogoča namestitev ransomware, ki prečka tehnologijo Gatekeeper iz OS X , kar preprečuje namestitev zlonamerne programske opreme v Mac.
Ko je nameščen, KeRanger nastavi komunikacijo z oddaljenim strežnikom v omrežju Tor. Nato spi tri dni. Ko se prebudi, KeRanger prejme šifrirni ključ iz oddaljenega strežnika in nadaljuje s šifriranjem datotek na okuženem Macu.
Datoteke, ki so šifrirane, vključujejo tiste v mapi / Uporabniki, kar povzroči, da je večina uporabniških datotek v okuženem Macu šifrirana in ne uporabna. Poleg tega Palo Alto Networks poroča, da je ciljna mapa / Volumes, ki vsebuje točko vgradnje za vse priključene naprave za shranjevanje, tako lokalno kot tudi v vašem omrežju.
Trenutno so mešane informacije o varnostnih kopijah Time Machine, ki jih šifrira KeRanger, če pa je ciljna mapa / zvezek, ne vidim razloga, zakaj pogon Time Machine ne bi bil šifriran. Moja ugibanja je, da je KeRanger tak nov kos ransomware, da so mešana poročila o časovnem stroju preprosto napaka v kodi ransomware; včasih deluje, včasih pa tudi ne.
Apple Reacts
Palo Alto Networks poroča KeRanger ransomware tako za Apple in prenos. Obe sta hitro reagirali; Apple je preklical potrdilo za razvijalce aplikacij za Mac, ki ga uporablja aplikacija, s čimer je Gatekeeperju omogočil, da ustavi nadaljnje namestitve trenutne različice sistema KeRanger. Apple je tudi posodobil podpise XProject, s čimer je omogočil, da sistem za preprečevanje zlonamerne programske opreme OS X prepozna KeRanger in preprečuje namestitev, tudi če je GateKeeper onemogočen ali pa je konfiguriran za nizko varnostno nastavitev.
Prenos je bil odstranjen Prenos 2.90 s svojega spletnega mesta in hitro ponovno izdal čisto verzijo prenosa, z različico 2.92. Predvidevamo lahko, da iščejo, kako je bila njihova spletna stran ogrožena, in sprejeti ukrepe, da se ne bi spet zgodilo.
Kako odstraniti KeRanger
Ne pozabite, da je prenos in namestitev okužene različice aplikacije Prenos trenutno edini način za pridobitev KeRangerja. Če ne uporabljate prenosa, vam trenutno ni treba skrbeti za KeRanger.
Dokler KeRanger še ni šifriral vaših Macovih datotek, imate čas, da odstranite aplikacijo in preprečite, da se šifriranje pojavi. Če so datoteke Maca že šifrirane, ni veliko, kar lahko storite, razen če vaše varnostne kopije še niso šifrirane. To opozarja na zelo dober razlog, da imate rezervni pogon, ki ni vedno povezan z vašim Macom. Kot primer uporabljam Carbon Copy Cloner, da naredim tedenski klon podatkov mojega Mac-a . Pogon, v katerega je nameščen ta klon, ni nameščen na mojem Macu, dokler ni potreben za proces kloniranja.
Če bi naletel na situacijo ransomware, bi se lahko vrnil s ponovnim vzpostavljanjem tedenskega klona. Edina kazen za uporabo tedenskega klona je imeti datoteke, ki bi lahko bile do en teden zastarele, a to je veliko boljše kot plačevanje nekega krivičnega cretina za odkupnino.
Če se znajdete v nesrečni situaciji KeRangerja, ki je že sprunila svojo past, vem, da ni nobene druge možnosti, razen plačila odkupnine ali ponovnega natovarjanja OS X in začetka s čisto namestitvijo .
Odstranite prenos
V aplikaciji Finder pojdite na / Applications.
Poiščite aplikacijo Prenos in nato z desno miškino tipko kliknite ikono.
V pojavnem meniju izberite Prikaži vsebino paketa.
V oknu Finder, ki se odpre, pojdite na / Contents / Resources /.
Poiščite datoteko z oznako General.rtf.
Če je datoteka General.rtf prisotna, imate nameščeno okuženo različico prenosa. Če se aplikacija Prenos izvaja, zaprite aplikacijo, jo povlecite v smeti in izpraznite koš.
Odstranite KeRanger
Zaženite Activity Monitor , ki se nahaja na / Applications / Utilities.
V monitorju aktivnosti izberite zavihek CPU.
V iskalno polje Activity Monitor vnesite naslednje:
kernel_servicein nato pritisnite vrnitev.
Če storitev obstaja, bo navedena v oknu Activity Monitor.
Če je prisoten, dvokliknite ime procesa v programu Activity Monitor.
V oknu, ki se odpre, kliknite gumb Odpri datoteke in vrata.
Zapišite si ime kernel_service; verjetno bo nekaj takega:
/ uporabnik / ime domene / knjižnica / kernel_serviceIzberite datoteko in kliknite gumb Zapri.
Ponovite zgoraj za kernel_time in kernel_complete imena storitev.
Čeprav v storitvi Activity Monitor izpuščate storitve, morate tudi izbrisati datoteke iz vašega računalnika Mac. Če želite to narediti, uporabite datoteke, ki ste jih navedli, da se pomaknete do datotek kernel_service, kernel_time in kernel_complete. (Opomba: morda ne boste imeli vseh teh datotek na vašem računalniku Mac.)
Ker so datoteke, ki jih morate izbrisati, v mapi v knjižnici vaše domače mape, boste morali to posebno mapo prikazati. Navodila za to lahko najdete v članku OS X Is Hiding Your Library Folder .
Ko imate dostop do mape Library, izbrišite zgoraj omenjene datoteke tako, da jih povlečete v smeti, nato z desno miškino tipko kliknete ikono smetnjaka in izberete Prazni smetnjak.