Palo Alto Networks otkriva Ransomware ciljane Macove
Dana 4. ožujka 2016., Palo Alto Networks, poznata sigurnosna tvrtka, objavila je svoje otkriće KeRanger ransomware infektivne transmisije, popularnog Mac BitTorrent klijenta. Stvarni zlonamjerni softver pronađen je u instalacijskom programu za prijenos verzije 2.90.
Prijenosna web stranica brzo je uklonila inficiranu instalaciju i poziva svakoga tko koristi prijenos 2.90 da bi se ažurirao na verziju 2.92, koju je Transmisija potvrdila da nije slobodna od KeRanger-a.
Prijenos nije raspravljao o tome kako je inficirani instalater mogao biti domaćin na svojim web stranicama, niti je Palo Alto Networks uspjelo utvrditi kako je web mjesto prijenosa ugroženo.
KeRanger Ransomware
KeRanger ransomware funkcionira kao što većina ransomware-a radi šifriranjem datoteka na vašem Macu, a zatim zahtijeva plaćanje; u ovom slučaju, u obliku bitcoina (trenutno u vrijednosti od oko $ 400) kako bi vam ponudio ključ za šifriranje za oporavak datoteka.
KeRanger ransomware instalira kompromitirani instalacijski program za prijenos. Instalater koristi valjanu certifikat za razvojne programere aplikacije Mac, čime instalacija ransomwarea prelazi tehnologiju Gatekeeper sustava OS X koja sprječava instalaciju zlonamjernog softvera na Mac računalu.
Jednom instaliran, KeRanger uspostavlja komunikaciju s udaljenim poslužiteljem na Tor mreži. Onda odlazi na spavanje tri dana. Nakon što se probudi, KeRanger prima ključ za šifriranje s udaljenog poslužitelja i nastavlja šifriranje datoteka na zaraženom Mac računalu.
Šifrirane datoteke uključuju one u mapi / Users, što rezultira većinom korisničkih datoteka na zaraženom Macu koji se šifrira i ne može se upotrebljavati. Pored toga, Palo Alto Networks izvješćuje da je mapa / volumena, koja sadrži točku montiranja za sve priključene uređaje za pohranu, i lokalno i na vašoj mreži, također cilj.
Trenutačno postoje mješovite informacije koje se odnose na sigurnosne kopije vremeplova koje KeRanger šifrira, ali ako je mapa / volumena ciljana, ne vidim razloge zašto se vremenski stroj ne bi šifriralo. Pretpostavljam da je KeRanger takav novi komad otkupnine koji mješoviti izvještaji o vremenu stroj su jednostavno bug u ransomware kodu; ponekad to radi, a ponekad i ne.
Apple reagira
Palo Alto Networks izvijestio je da je KeRanger ransomware za Apple i Transmission. Oba su reagirali brzo; Apple je opozvao certifikat za razvojne programere aplikacije Mac koji koristi aplikacija, čime je Gatekeeper zaustavio daljnju instalaciju trenutne verzije značajke KeRanger. Apple je također ažurirao potpise XProject, omogućujući OS X sustav za sprečavanje zlonamjernog softvera da prepozna KeRanger i spriječi instalaciju, čak i ako je GateKeeper onemogućen ili je konfiguriran za postavke niske sigurnosti.
Prijenos je uklonio Prijenos 2.90 sa svoje web stranice i brzo izdavao čistu inačicu Prijenosa, s brojem verzije od 2.92. Možemo također pretpostaviti da gledaju kako je njihova web stranica ugrožena, i poduzimaju mjere kako bi se spriječilo ponovno.
Kako ukloniti KeRanger
Zapamtite da je preuzimanje i instalacija zaražene verzije aplikacije za prijenos trenutačno jedini način za stjecanje KeRanger-a. Ako ne koristite prijenos, trenutačno se ne morate brinuti za KeRanger.
Sve dok KeRanger još nije kriptirala vaše Mac datoteke, imate vremena ukloniti aplikaciju i spriječiti šifriranje. Ako su datoteke vašeg Mac-a već kriptirane, nema mnogo toga što možete učiniti, osim nadu da i vaše sigurnosne kopije nisu šifrirane. Ovo ukazuje na vrlo dobre razloge za backup pogona koji nije uvijek povezan s vašim Mac računalom. Kao primjer, koristim Carbon Copy Cloner da napravim tjedni klon mojih Macovih podataka . Pogon kućišta koji se klon ne montira na Mac, dok nije potreban za proces kloniranja.
Da sam se udaljio u situaciju otkrića otkupnine, mogao sam se oporaviti vraćanjem iz tjednog klona. Jedina kazna za upotrebu tjednog klona je imati datoteke koje bi mogle biti do jednog tjedna zastarjelog, ali to je puno bolje od plaćanja nekih divnih kretena otkupninu.
Ako se nađete u nesretnoj situaciji kada je KeRanger već napustio zamku, ne znam ni na koji način izlaziti osim plaćanja otkupnine ili ponovnog punjenja OS X i počevši s čistom instalacijom .
Ukloni prijenos
U Finderu idite na / Applications (Aplikacije).
Pronađite aplikaciju Prijenos, a zatim desnom tipkom miša na ikonu.
Na skočnom izborniku odaberite Prikaži sadržaj paketa.
U prozoru Finder koji se otvori, idite na / Contents / Resources /.
Potražite datoteku s oznakom General.rtf.
Ako je datoteka General.rtf prisutna, imate instaliranu zaraženu verziju prijenosa. Ako je aplikacija prijenosa pokrenuta, zatvorite aplikaciju i povucite je u otpad, a zatim ispraznite otpad.
Ukloni KeRanger
Pokreni aktivnost Monitor , koji se nalazi u / Applications / Utilities.
U Activity Monitoru odaberite karticu CPU.
U polju za pretraživanje programa Activity Monitor unesite sljedeće:
kernel_servicei zatim pritisnite povratak.
Ako usluga postoji, bit će navedena u prozoru Aktivnosti Monitor.
Ako je prisutan, dvaput kliknite naziv procesa u Activity Monitoru.
U prozoru koji se otvori kliknite gumb Otvori datoteke i priključci.
Zabilježite naziv kernel_service; to će vjerojatno biti nešto poput:
/ korisnik / homefoldername / Knjižnica / kernel_serviceOdaberite datoteku, a zatim kliknite gumb Odustani.
Ponovite gore navedeno za kernel_time i kernel_complete imena usluga.
Iako ste napustili usluge unutar Activity Monitor, također morate izbrisati datoteke s Mac računala. Da biste to učinili, upotrijebite nazive datoteka koje ste zapisali da biste se kretali do kernel_service, kernel_time i kernel_complete datoteke. (Napomena: možda nećete imati sve te datoteke na Mac računalu.)
Budući da datoteke koje trebate izbrisati nalaze se u mapi Knjižnica kućne mape, morat ćete napraviti ovu posebnu mapu vidljiva. Možete pronaći upute kako to učiniti u OS X skriva vašu mapu knjižnice .
Nakon što pristupite mapi Knjižnica, izbrišite gore navedene datoteke povlačenjem u otpad, a zatim desnom tipkom miša na ikonu otpada i odabirom opcije Isprazni otpad.