Palo Alto Networks ontdek Ransomware-teiken Macs
Op 4 Maart 2016 het Palo Alto Networks, 'n bekende sekuriteitsfirma, sy ontdekking van KeRanger ransomware infecting Transmission, die gewilde Mac BitTorrent-kliënt, gepos. Die werklike malware is gevind in die installeerder vir Transmissie weergawe 2.90.
Die Transmissie-webwerf het die besmette installeerder vinnig ingeneem en dring daarop aan dat enige iemand wat Transmission 2.90 gebruik, opdateer na weergawe 2.92, wat deur Transmission geverifieer is om vry van KeRanger te wees.
Transmissie het nie bespreek hoe die besmette installeerder op hul webwerf gehuur kan word nie, en Palo Alto Networks het ook nie in staat om te bepaal hoe die Transmissie-webwerf gekompromitteer is nie.
KeRanger Ransomware
Die KeRanger ransomware werk soos die meeste ransomware doen, deur lêers op jou Mac te enkripteer en dan betaling te eis. in hierdie geval, in die vorm van 'n bitcoin (tans waardeer sowat $ 400) om u die enkripsiesleutel te verskaf om u lêers te herstel.
Die KeRanger ransomware word geïnstalleer deur die gekompromitteerde Transmissie-installeerder. Die installeerder maak gebruik van 'n geldige ontwikkelaar van die Mac-program, wat die installering van die ransomware moontlik maak om verby OS X se Gatekeeper-tegnologie te vlieg , wat die installering van wanware op die Mac verhoed.
Eenmaal geïnstalleer, stel KeRanger kommunikasie op met 'n eksterne bediener op die Tor-netwerk. Dit gaan dan vir drie dae aan die slaap. Sodra dit wakker word, ontvang KeRanger die enkripsiesleutel van die eksterne bediener en gaan dit voort om lêers op die geïnfekteerde Mac te enkripteer .
Die lêers wat geïnkripteer is, sluit in die / Gebruikers-lêergids, wat veroorsaak dat die meeste gebruikerslêers op die geïnfekteerde Mac word geïnkripteer en nie bruikbaar nie. Daarbenewens rapporteer Palo Alto Networks dat die gids / volumes wat die bergpunt vir alle aangehegde bergingstoestelle, beide plaaslike en op jou netwerk bevat, ook 'n teiken is.
Op die oomblik is daar gemengde inligting oor Time Machine-backups wat deur KeRanger geïnkripteer word, maar as die gids / volumes gemik is, sien ek geen rede waarom 'n Time Machine-rit nie geïnkripteer sou word nie. My raai is dat KeRanger so 'n nuwe stuk ransomware is dat die gemengde verslae oor Time Machine net 'n fout in die ransomware-kode is; soms werk dit, en soms is dit nie.
Apple reageer
Palo Alto Networks het die KeRanger ransomware aan beide Apple en Transmission gerapporteer. Albei het vinnig gereageer; Apple het die Mac-programontwikkelaarsertifikaat wat deur die program gebruik is, ingetrek. Dit laat toe Gatekeeper verdere installasies van die huidige weergawe van KeRanger stop. Apple het ook XProject-handtekeninge opgedateer, sodat die OS X-wanware-voorkomingstelsel KeRanger herken en installasie voorkom, selfs al is GateKeeper gedeaktiveer of is dit ingestel vir 'n lae sekuriteitsinstelling.
Transmissie het Transmissie 2.90 van hul webwerf verwyder en vinnig 'n skoon weergawe van Transmission, met 'n weergawe van 2.92, heruitgegee. Ons kan ook aanvaar dat hulle kyk na hoe hul webwerf gekompromitteer is en om maatreëls te tref om dit weer te voorkom.
Hoe om KeRanger te verwyder
Onthou, die aflaai en installering van die besmette weergawe van die Transmissie-program is tans die enigste manier om KeRanger te verwerf. As jy nie Transmission gebruik nie, hoef jy nie tans oor KeRanger te bekommer nie.
Solank as wat KeRanger jou Mac se lêers nog nie geënkripteer het nie, het jy tyd om die program te verwyder en te voorkom dat die enkripsie plaasvind. As jou Mac se lêers reeds geïnkripteer is, is daar nie veel wat jy kan doen nie, behalwe dat jou rugsteun ook nie geïnkripteer is nie. Dit dui op 'n baie goeie rede om 'n Friends Drive te hê wat nie altyd gekoppel is aan jou Mac nie. As voorbeeld gebruik ek Carbon Copy Cloner om 'n weeklikse kloon van my Mac se data te maak . Die stasie wat die kloon behou, word nie op my Mac gemonteer totdat dit nodig is vir die kloningproses nie.
As ek 'n ransomware-situasie gehad het, kon ek herstel het deur die herstel van die weeklikse kloon. Die enigste straf vir die gebruik van die weeklikse kloon is om lêers te hê wat tot een week verouderd kan wees, maar dit is baie beter as om 'n lafhartige kretin 'n losprys te betaal.
As jy jouself in die ongelukkige situasie bevind dat KeRanger reeds sy val gespring het, weet ek nie anders as om die losprys te betaal of OS X te herlaai nie en met 'n skoon installasie te begin .
Verwyder transmissie
In die Finder , navigeer na / Applications.
Vind die Transmissie-program en klik met die rechtermuisknop op die ikoon.
Kies die inhoud van die pakket in die venster menu.
In die Finder-venster wat oopgaan, navigeer na / Inhoud / Hulpbronne /.
Soek vir 'n lêer genaamd General.rtf.
As die General.rtf lêer teenwoordig is, het u 'n besmette weergawe van Transmission geïnstalleer. As die Transmissie-program aan die gang is, maak die program uit, sleep dit na die asblik en laat dan die asblik leeg.
Verwyder KeRanger
Begin Aktiwiteitsmonitor , geleë in / Applications / Utilities.
Kies in die Aktiwiteitsmonitor die CPU-oortjie.
Voer die volgende in Aktiwiteitsmonitor se soekveld in:
kernel_serviceen druk dan terug.
As die diens bestaan, sal dit in die Aktiwiteitsmonitor se venster gelys word.
As dit teenwoordig is, dubbelkliek op die proses naam in Aktiwiteitsmonitor.
Klik in die venster wat oopmaak, op die knoppie Open lêers en poorte oop.
Maak 'n kennisgewing van die kernel_service-padnaam; dit sal waarskynlik iets soos wees:
/ gebruikers / homefoldername / Biblioteek / kernel_serviceKies die lêer en klik dan op die knoppie Stop.
Herhaal die bogenoemde vir die kernel_time en kernel_complete diens name.
Alhoewel jy die dienste in aktiwiteitsmonitor verlaat, moet jy ook die lêers uit jou Mac verwyder. Om dit te doen, gebruik die lêerpaaie wat u opgemerk het om na die kernel_service, kernel_time en kernel_complete lêers te gaan. (Nota: u mag nie al hierdie lêers op u Mac teenwoordig hê nie.)
Aangesien die lêers wat u moet verwyder, in die biblioteekmap van u tuisblad gevind word, moet u hierdie spesiale gids sigbaar maak. U kan instruksies vind vir hoe om dit te doen in die bedryfstelsel X. Verberg u biblioteekmapartikel .
Sodra u toegang tot die biblioteekmap het, verwyder u bogenoemde lêers deur dit na die asblik te sleep, regs te klik op die asblik-ikoon en leeg leë vullis te kies.