Palo Alto Networks atklāj Ransomware mērķauditorijas atlasi Mac datoriem
2016. gada 4. martā labi zināms drošības uzņēmums Palo Alto Networks atklāja KeRanger ransomware, kas ir populārs Mac BitTorrent klients. Faktiskais ļaundabīgais dators tika atrasts Installer 2.90 versijā.
Transmisijas vietne ātri paņēma inficēto instalētāju un mudina ikvienu, kas izmanto 2.90. Sūtījumu, atjaunināt līdz 2.92 versijai, kuru Pārraide ir apstiprinājusi par KeRanger brīvu.
Pārraide nav apspriedusi, kā inficēto instalētāju varēja izvietot savā tīmekļa vietnē, kā arī Palo Alto Networks nevarēja noteikt, kā tika pārkāpti Transmisijas vietne.
KeRanger Ransomware
KeRanger ransomware darbojas kā lielākā daļa ransomware, šifrējot failus uz jūsu Mac un pēc tam pieprasot maksājumu; šajā gadījumā bitcoīna veidā (pašlaik vērtē apmēram 400 ASV dolāru), lai nodrošinātu failu šifrēšanas atslēgu.
KeRanger ransomware instalējis kompromitēts Transmisijas uzstādītājs. Instalētājs izmanto derīgu Mac lietotņu izstrādātāja sertifikātu, kas ļauj instalēt ransomware, lai lidotu pāri OS X Gatekeeper tehnoloģijai , kas novērš ļaunprātīgas programmatūras instalēšanu Mac datoros.
Pēc instalēšanas KeRanger izveido sakaru ar attālo serveri Tor tīklā. Tad trīs dienas iet gulēt. Kad tas pamod, KeRanger saņem šifrēšanas atslēgu no attālā servera un turpina šifrēt failus inficētajā Mac datorā.
Šifrētie faili ietver tos, kas atrodas mapē / Lietotāji, kā rezultātā lielākā daļa lietotāja inficēto failu kļūst šifrēti un nav izmantojami. Turklāt Palo Alto Networks ziņo, ka mērķa sasniegšanai ir arī mape / volumes, kurā ir piestiprināšanas vieta visām pievienotajām atmiņas ierīcēm gan vietējā, gan tīklā.
Šajā laikā KeRanger ir šifrējusi jauktu informāciju par Time Machine backups , taču, ja mape / volumes ir mērķēta, es neredzu iemeslu, kāpēc Time Machine disks nebūtu šifrēts. Man šķiet, ka KeRanger ir tik jauns ransomware gabals, ka jauktie ziņojumi par Time Machine ir vienkārši kļūda ransomware kodā; dažreiz tas darbojas, un reizēm tas nav.
Apple reaģē
Palo Alto Networks ziņoja par KeRanger ransomware gan Apple, gan Transmission. Abi reaģēja ātri; Apple atcēla Mac lietotnes izstrādātāja sertifikātu, ko izmantoja lietotne, tādējādi ļaujot Gatekeeper pārtraukt pašreizējās KeRanger versijas instalēšanu. Apple arī atjaunināja XProject parakstus, ļaujot OS X ļaundabīgo programmu novēršanas sistēmai atpazīt KeRanger un novērst instalēšanu, pat ja GateKeeper ir atspējota vai konfigurēta zemas drošības iestatījumam.
Pārraide tika noņemta no savas vietnes 2.90 pārraidīšanas un tika ātri izlaista tīrā pārraides versija ar versijas numuru 2.92. Mēs varam arī uzskatīt, ka viņi meklē, kā viņu vietne tika apdraudēta, un veikt pasākumus, lai novērstu to no jauna.
Kā noņemt KeRanger
Atcerieties, ka lejupielādējot un instalējot pārraides lietotnes inficēto versiju, pašlaik ir vienīgais veids, kā iegūt KeRanger. Ja jūs neizmantojat pārraidi, jums pašlaik nav jāuztraucas par KeRanger.
Kamēr KeRanger vēl nav šifrējusi jūsu Mac failus, jums ir laiks noņemt lietotni un novērst šifrēšanas rašanos. Ja jūsu Mac faili jau ir šifrēti, to nevar izdarīt daudz ko citu, izņemot ceru, ka jūsu backups arī nav šifrēti. Tas norāda uz ļoti labu iemeslu rezerves diska, kas ne vienmēr ir savienots ar jūsu Mac. Piemēram, es izmantoju Carbon Copy Cloner, lai izveidotu iknedēļas manu Mac datu klonu . Disks, kurā tas klons nav ievietots manā Mac, kamēr tas nav nepieciešams klonēšanas procesam.
Ja man būtu nokļuvis ransomware situācijā, es varētu atgūt, atjaunojot no iknedēļas klona. Vienīgais sods par nedēļas klona izmantošanu ir tas, ka failiem, kuru pagājušajā nedēļā var būt pat viena nedēļa, tomēr tas ir daudz labāk nekā maksāt nedaudz sliktu kretinu par izpirkuma maksu.
Ja jūs atradīsiet sevi nelaimīgajā KeRanger situācijā, kura jau ir iekļuvusi šajā slazdā, es zinu, ka ne tikai iztērē izpirkuma maksu vai arī atkārtoti ielādē operētājsistēmu OS X un sāk darbu ar tīru instalāciju .
Noņemt pārnesumkārbu
Finder izvēlnē pārejiet uz / Applications.
Atrodiet lietotni Pārraide un pēc tam ar peles labo pogu noklikšķiniet uz tās ikonas.
Uznirstošajā izvēlnē atlasiet Rādīt iepakojuma saturu.
Atvērtajā Finder logā atveriet / Contents / Resources / /.
Meklējiet failu ar nosaukumu General.rtf.
Ja ir pieejams General.rtf fails, jums ir instalēta inficētā Pārraides versija. Ja programma Pārraide darbojas, izejiet no lietotnes, velciet to uz miskasti un pēc tam iztukšojiet atkritni.
Noņemt KeRanger
Uzsāciet aktivitātes monitoru , kas atrodas sadaļā / Applications / Utilities.
In Activity Monitor izvēlieties cilni CPU.
In Activity Monitor meklēšanas laukā ievadiet šādu informāciju:
kernel_serviceun tad nospiediet atgriešanos.
Ja pakalpojums pastāv, tas tiks norādīts aktivitātes monitora logā.
Ja tas ir pieejams, dubultklikšķi uz procesa nosaukuma aktivitātes monitorā.
Atvērtajā logā noklikšķiniet uz pogas Atvērt failus un porti.
Pierakstiet kernel_service pathname; tas, iespējams, būs kaut kas līdzīgs:
/ users / homefoldername / bibliotēka / kernel_serviceAtlasiet failu un pēc tam noklikšķiniet uz pogas Iziet.
Atkārtojiet iepriekš minēto par kernel_time un kernel_complete pakalpojumu nosaukumiem.
Lai gan jūs izietat no pakalpojumiem aktivitātes monitorā, jums arī ir jādzēš faili no sava Mac datora. Lai to izdarītu, izmantojiet faila vietņu nosaukumus, kurus jūs izmantojāt, lai pārietu uz kernel_service, kernel_time un kernel_complete failiem. (Piezīme. Iespējams, ka šie faili nav pieejami jūsu Mac datorā.)
Tā kā faili, kas jāizdzēš, atrodas jūsu sākuma mapes bibliotēkas mapē, jums būs jāveido šī īpašā mape. Jūs varat atrast instrukcijas par to, kā to izdarīt OS X slēpj savu bibliotēkas mapes rakstu.
Kad esat piekļuvis mapei Bibliotēka, izdzēsiet iepriekš minētos failus, velkot tos uz atkritni, pēc tam ar peles labo pogu noklikšķinot uz atkritnes ikonas un izvēloties Iztukšot atkritni.