Пало Алто Мрежи открива Ransomware насочване към Mac
На 4 март 2016 г. Паоло Алто Мрежи, добре известна фирма за сигурност, публикува своето откритие за трансфер на популярния Mac BitTorrent клиент. Действителният злонамерен софтуер бе намерен в инсталатора за пренос версия 2.90.
Уебсайтът за предаване бързо свали инфектирания монтажник и приканва всеки, който използва Transmission 2.90, да се актуализира до версия 2.92, която е потвърдена от Transmission да бъде освободена от KeRanger.
Предаването не обсъждаше как инфектираният монтажник може да бъде хостван на уебсайта си, нито пък Palo Alto Networks е успял да определи как е бил компрометиран сайтът за предаване.
KeRanger Ransomware
Керанджър ransomware работи като повечето ransomware, като шифрова файлове на вашия Mac и след това изисква плащания; в този случай, под формата на bitcoin (понастоящем се оценява около $ 400), за да ви предостави ключ за шифроване, за да възстановите файловете си.
Керанджърският ransomware се инсталира от компрометирания инсталатор за пренос. Инсталаторът използва валиден сертификат за разработчици на приложения за Mac, който позволява инсталирането на ransomware да лети по технологията Gatekeeper на OS X , което предотвратява инсталирането на злонамерен софтуер на Mac.
След като бъде инсталиран, KeRanger създава комуникация с отдалечен сървър в мрежата Tor. Тогава отива да спя в продължение на три дни. След като се събуди, KeRanger получава ключ за шифроване от отдалечения сървър и продължава да криптира файлове от заразения Mac.
Файловете, шифровани, включват тези в папката / Users, което води до това повечето файлове на потребителите на заразения Mac да бъдат кодирани и неизползваеми. Освен това, Palo Alto Networks съобщава, че папката "/ Volumes", която съдържа точка за монтиране за всички прикачени устройства за съхранение, както локални, така и във вашата мрежа, също е цел.
Понастоящем има смесена информация относно резервните копия на Time Machine, които са криптирани от KeRanger, но ако папката "/ Volumes" е насочена, не виждам причина, поради която устройство с Time Machine да не бъде шифровано. Предполагам, че KeRanger е такава нова част от ransomware, че смесените отчети за Time Machine са просто бъг в кода на ransomware; понякога работи, а понякога и не.
Apple реагира
Пало Алто Мрежи съобщи за прехвърлянето на керанджър на Apple и Transmission. И двамата реагираха бързо; Apple отмени сертификата за разработчици на приложения за Mac, използван от приложението, като по този начин позволява на Gatekeeper да спре по-нататъшните инсталации на текущата версия на KeRanger. Apple също така актуализира подписите на XProject, позволявайки на системата за предотвратяване на зловреден софтуер OS X да разпознае KeRanger и да предотврати инсталирането, дори ако GateKeeper е деактивиран или е конфигуриран за настройка с ниска степен на сигурност.
Предаването премахна Предаване 2.90 от техния уеб сайт и бързо преиздаде чиста версия на Transmission, с номер на версия 2.92. Също така можем да предположим, че гледат как са компрометирани техният уебсайт и че предприемат мерки, за да предотвратят това да се случи отново.
Как да премахнете KeRanger
Не забравяйте, че изтеглянето и инсталирането на заразената версия на приложението за предаване в момента е единственият начин за придобиване на KeRanger. Ако не използвате Предаване, в момента не е нужно да се притеснявате за KeRanger.
Докато KeRanger все още не е криптирал файловете на Mac, имате време да премахнете приложението и да предотвратите появата на криптиране. Ако файловете на Mac са вече шифровани, не можете да направите много неща, освен ако нямате криптирани резервни копия. Това показва много добра причина да имате резервно устройство, което не винаги е свързано към Mac. Като пример, използвам Carbon Copy Cloner, за да правя седмичен клонинг на данните на моя Mac . Корпусът на устройството, който клонира, не е монтиран на моя Mac, докато не е необходим за процеса на клониране.
Ако бях влязъл в ситуация на ransomware, бих могъл да се възстанови, като възстановя от седмичния клонинг. Единственото наказание за използването на седмичния клонинг е да имате файлове, които може да са изтекли до една седмица, но това е много по-добре, отколкото да платите някакъв престъпен кретен откуп.
Ако се окажете в нещастната ситуация, в която Кейгърър вече е изпреварил капана си, аз не знам за изход, освен да платя откупа или да презаредим OS X и да започнем с чиста инсталация .
Премахване на предаването
В Finder отидете в / Applications (Приложения).
Намерете приложението за предаване и щракнете с десния бутон на мишката върху него.
От изскачащото меню изберете Показване на съдържанието на пакета.
В прозореца Finder, който се отваря, отидете в / Contents / Resources /.
Потърсете файл, наречен General.rtf.
Ако е налице файлът General.rtf, имате инсталирана заразена версия на Transmission. Ако се показва приложението Transmission, излезте от приложението, преместете го в кошчето и го изпразнете.
Премахване на KeRanger
Старт за мониторинг на активността , намиращ се в / Applications / Utilities.
В "Монитор на активността" изберете раздела "CPU".
В полето за търсене на Activity Monitor въведете следното:
kernel_serviceи след това натиснете връщане.
Ако услугата съществува, тя ще бъде показана в прозореца на монитора на дейностите.
Ако е налице, щракнете двукратно върху името на процеса в Activity Monitor.
В отворения прозорец кликнете върху бутона Отваряне на файлове и портове.
Обърнете внимание на името на пътя kernel_service; вероятно ще е нещо като:
/ потребители / homefoldername / Library / kernel_serviceИзберете файла и след това кликнете върху бутона Изход.
Повторете горното за имената на услугата kernel_time и kernel_complete .
Въпреки че излизате от услугите в Activity Monitor, трябва да изтриете файловете от Mac. За целта използвайте файловите имена на пътя, които сте забелязали, за да отидете до файловете kernel_service, kernel_time и kernel_complete. (Забележка: Възможно е да не разполагате с всички тези файлове на Mac.)
Тъй като файловете, които трябва да изтриете, се намират в папката "Библиотека" в домашната папка, ще трябва да я видите. Можете да намерите инструкции за това как да направите това в статията OS X Hiding Your Library Folder .
След като имате достъп до папката "Библиотека", изтрийте гореспоменатите файлове, като ги плъзнете в кошчето, след което щракнете с десния бутон на мишката върху иконата на кошчето и изберете Empty Trash.