Palo Alto Networks zbulon Ransomware Targeting Macs
Më 4 mars 2016, Palo Alto Networks, një firmë e mirënjohur e sigurisë, zbuloi zbulimin e tij të Transmetimit që infektonte ransomware KeRanger, klientin popullor Mac BitTorrent. Malware aktuale u gjet brenda instaluesit për Versionin e Transmisionit 2.90.
Faqen e internetit të Transmetimit shpejt e hoqi instaluesin e infektuar dhe po i bën thirrje kujtdo që përdor Transmisionin 2.90 të përditësohet në versionin 2.92, i cili është verifikuar nga transmetimi për të qenë i lirë nga KeRanger.
Transmetimi nuk ka diskutuar se si instaluesi i infektuar ishte në gjendje të pritej në faqen e tyre të internetit, dhe as Palo Alto Networks nuk ishte në gjendje të përcaktojë se si u rrezua vendi i Transmisionit.
KeRanger Ransomware
Ransomware KeRanger punon si shumica e ransomware, duke koduar skedarët në Mac tuaj, dhe pastaj duke kërkuar pagesë; në këtë rast, në formën e një bitcoin (aktualisht vlerësuar rreth $ 400) për t'ju siguruar çelësin e kodimit për të rikuperuar skedarët tuaj.
Ransomware KeRanger është instaluar nga instaluesi i Transmisionit i komprometuar. Instaluesi përdor një certifikatë të vlefshme të zhvilluesit të aplikacioneve Mac, duke lejuar instalimin e ransomware për të fluturuar me teknologjinë Gatekeeper të OS X , gjë që parandalon instalimin e malware në Mac.
Pasi të instalohet, KeRanger vendos komunikimin me një server të largët në rrjetin Tor. Pastaj shkon për të fjetur për tre ditë. Pasi të zgjojë, KeRanger merr çelësin e kodimit nga serveri i largët dhe vazhdon të encrypt fotografi në Mac infektuar.
Dosjet e koduara përfshijnë ato në dosjen / Users, gjë që rezulton në shumicën e dosjeve të përdoruesit në Mac të infektuar duke u bërë i koduar dhe jo i përdorshëm. Përveç kësaj, Palo Alto Networks raporton se dosja / Vëllimi, i cili përmban pikën e montimit për të gjitha pajisjet e bashkëngjitura të ruajtjes, si lokale ashtu edhe në rrjetin tuaj, është gjithashtu një objektiv.
Në këtë kohë, ka informacione të përziera në lidhje me backup-in e Time Machine që janë të koduara nga KeRanger, por nëse dosja / volumi është në shënjestër, unë nuk shoh asnjë arsye pse një makinë Time Machine nuk do të krijohej kod. Mendova se KeRanger është një copë e re e ransomware që raportet e përziera në lidhje me Time Machine janë thjesht një gabim në kodin e ransomware; nganjëherë funksionon, dhe nganjëherë nuk funksionon.
Reagimet e Apple
Palo Alto Networks raportoi ransomware KeRanger për të dy Apple dhe Transmisionit. Të dy reaguan me shpejtësi; Apple ka revokuar certifikatën e zhvilluesit të aplikacionit Mac që përdoret nga aplikacioni, duke lejuar kështu Gatekeeper të ndalojë instalimet e mëtejshme të versionit aktual të KeRanger. Apple gjithashtu azhurnoi firmat XProject, duke lejuar sistemin e parandalimit të malware OS X për të njohur KeRanger dhe për të parandaluar instalimin, edhe nëse GateKeeper është i çaktivizuar ose është konfiguruar për një vendosje të sigurisë së ulët.
Transmisioni hoqi Transmisionin 2.90 nga faqja e internetit e tyre dhe rifilloi shpejt një version të pastër të Transmisionit, me një version prej 2.92. Ne gjithashtu mund të supozojmë se ata po shohin se si u komprometua faqja e internetit e tyre, dhe ndërmerr masa për ta parandaluar atë që të ndodhte përsëri.
Si të hiqni KeRanger
Mos harroni, shkarkimi dhe instalimi i versionit të infektuar të aplikacionit të Transmisionit është aktualisht e vetmja mënyrë për të blerë KeRanger. Nëse ju nuk përdorni Transmisionit, ju aktualisht nuk keni nevojë të shqetësoheni për KeRanger.
Për sa kohë që KeRanger nuk ka koduar ende dosjet e Mac-it, ju keni kohë për të hequr aplikacionin dhe për të parandaluar që encryption të ndodhë. Nëse skedarët e Mac-it tuaj tashmë janë të koduar, nuk mund të bëni shumë gjëra përveç shpresës që kopjet tuaja të sigurisë nuk janë të koduara. Kjo tregon një arsye shumë të mirë për të patur një makinë rezervë që nuk është gjithmonë e lidhur me Mac tuaj. Si shembull, unë përdor Carbon Copy Cloner për të bërë një klon të përjavshëm të të dhënave të mia Mac . Strehimi me makinë që klon nuk është montuar në Mac tim deri sa është e nevojshme për procesin e klonimit.
Po të kisha kandiduar në një situatë ransomware, do të mund të shërohesha duke u rikthyer nga kloni i përjavshëm. Dënimi i vetëm për përdorimin e klonës javore është të kesh skedarë që mund të jenë deri në një javë të vjetër, por kjo është shumë më mirë se sa të paguash një cretin të neveritshëm si shpërblim.
Nëse e gjeni veten në situatën fatkeqe të KeRanger që sapo e ka lëshuar kurthin e saj, unë nuk di asnjë mënyrë për të dalë përveç pagesës së shpërblimit ose rifreskimit të OS X dhe fillimit me një instalim të pastër .
Hiq transmetimin
Në Finder , lundroni në / Applications.
Gjeni aplikacionin Transmisioni dhe pastaj klikoni me të djathtën mbi ikonën e tij.
Nga menyja pop-up, zgjidhni Shfaq përmbajtjen e paketës.
Në dritaren e Finder që hapet, lundroni në / Contents / Resources /.
Shiko për një skedar të etiketuar General.rtf.
Nëse skedari General.rtf është i pranishëm, ju keni një version të infektuar të Transmisionit të instaluar. Nëse aplikacioni i Transmisionit po kandidon, hiqni aplikacionin, tërhiqeni atë në plehra dhe pastaj zbrazni plehrat.
Hiq KeRanger
Launch Activity Monitor , që gjendet në / Applications / Utilities.
Në Activity Monitor, zgjidhni skedën CPU.
Në fushën e kërkimit të Aktivitetit Monitor, futni sa vijon:
kernel_servicedhe pastaj shtypni kthimin.
Nëse shërbimi ekziston, do të renditet në dritaren e Aktivitetit Monitor.
Nëse është i pranishëm, klikoni dy herë mbi emrin e procesit në Activity Monitor.
Në dritaren që hapet, klikoni butonin Open Files dhe Portet.
Bëni një shënim të kernel_service pathname; ka të ngjarë të jetë diçka si:
/ përdoruesit / homefoldername / Library / kernel_serviceZgjidhni skedarin dhe pastaj kliko butonin Quit.
Përsëritni sa më sipër për emrat e shërbimit kernel_time dhe kernel_complete .
Edhe pse i lini shërbimet brenda Activity Monitor, gjithashtu duhet të fshini skedarët nga Mac juaj. Për ta bërë këtë, përdorni mënyrën e skedarit që keni shënuar për të lundruar në kernel_service, kernel_time dhe skedarët kernel_complete. (Shënim: Ju nuk mund të keni të gjitha këto skedarë të pranishëm në Mac tuaj.)
Meqë skedarët që ju duhet të fshini janë të vendosura në dosjen tuaj të dosjes së dosjes tuaj, do t'ju duhet të bëni këtë dosje të veçantë të dukshme. Ju mund të gjeni udhëzime se si ta bëni këtë në OS X është fshehur artikullin e dosjes së bibliotekës tuaj .
Pasi të keni qasje në dosjen e Bibliotekës, fshini dosjet e lartpërmendura duke i zvarritur ato në plehra, pastaj klikoni me të djathtën mbi ikonën e plehrave dhe përzgjidhni Empty Trash.