Palo Alto Networks objevuje Ransomware zaměřené na Mac
Dne 4. března 2016 společnost Palo Alto Networks, známá bezpečnostní firma, zveřejnila objev KeRanger ransomware infekce Transmission, populárního klienta Mac BitTorrent. Aktuální malware byl nalezen v instalačním programu pro přenosovou verzi 2.90.
Stránka Transmission rychle spustila infikovaný instalační program a naléhá na někoho, kdo používá Transmission 2.90, aby se aktualizoval na verzi 2.92, která byla ověřena přenosem bez KeRangeru.
Přenos nepředložil diskusi o tom, jak byl infikovaný instalační technik schopen hostovat na svých webových stránkách, a ani společnost Palo Alto Networks nebyla schopna určit, jak byla přenosová stránka ohrožena.
KeRanger Ransomware
KeRanger ransomware funguje jako většina ransomware, šifrování souborů na vašem Macu a pak náročné platby; v tomto případě v podobě bitcoin (v současnosti hodnocené kolem 400 dolarů), který vám poskytne šifrovací klíč pro obnovu vašich souborů.
Krananger ransomware je instalován kompromitovaným instalátorem přenosu. Instalační program využívá platný certifikát vývojáře aplikací pro Mac, který dovoluje instalaci produktu ransomware pro let kolem technologie Gatekeeper OS X , která zabraňuje instalaci škodlivého softwaru na počítači Mac.
Po instalaci KeRanger nastaví komunikaci se vzdáleným serverem v síti Tor. Pak jdou tři dny spát. Jakmile se KeRanger probudí, obdrží šifrovací klíč ze vzdáleného serveru a provede šifrování souborů na infikovaném počítači Mac.
Soubory šifrované zahrnují soubory ve složce / uživatelé, což vede k tomu, že většina uživatelských souborů na infikovaném počítači Mac je šifrovaná a nepoužitelná. Navíc společnost Palo Alto Networks uvádí, že cílová složka / svazky, která obsahuje bod připojení pro všechna připojená úložná zařízení, a to jak lokální, tak ve vaší síti.
V současné době existují smíšené informace o tom, že zálohy Time Machine jsou zašifrovány firmou KeRanger, ale pokud je cílová složka / svazky zaměřena, nevidím žádný důvod, proč by jednotka Time Machine nebyla šifrována. Myslím, že KeRanger je takový nový kus ransomware, že smíšené zprávy o Time Machine jsou prostě chybou v kódu ransomware; někdy to funguje, a někdy to ne.
Apple reaguje
Palo Alto Networks hlásil KeRanger ransomware jak Apple, tak Transmission. Obě reagovaly rychle; Společnost Apple zrušila certifikát vývojářů aplikací pro Mac, který aplikace používá, a tak umožnila společnosti Gatekeeper zastavit další instalace aktuální verze KeRanger. Apple také aktualizoval podpisy XProject, což umožnilo systému prevence malwaru OS X rozpoznat KeRanger a zabránit instalaci, a to i v případě, že GateKeeper je deaktivován nebo je konfigurován pro nastavení s nízkou úrovní zabezpečení.
Přenos byl odstraněn Přenos 2.90 z jejich webových stránek a rychle vydal čistou verzi Transmission, s číslem verze 2.92. Můžeme také předpokládat, že se dívají na to, jak byla jejich webová stránka ohrožena, a přijmout opatření, aby se zabránilo tomu, aby se to stalo znovu.
Jak odstranit KeRanger
Pamatujte, stahování a instalace infikované verze aplikace Přenos je v současné době jediným způsobem, jak získat KeRanger. Pokud nepoužíváte Přenos, v současné době se nemusíte starat o KeRanger.
Dokud KeRanger nezašifroval soubory vašeho Macu, máte čas na odstranění aplikace a zabránění šifrování. Pokud jsou soubory vašeho Macu již zašifrovány, nemusíte dělat mnoho, jen si přejete, aby vaše zálohy nebyly šifrovány. To poukazuje na velmi dobrý důvod pro vytvoření záložní jednotky, která není vždy připojena k počítači Mac. Jako příklad používám Carbon Copy Cloner, abych vytvořil týdenní klon dat z Macu . Skříň jednotky, která klonuje, není namontována na počítači Mac, dokud není potřeba pro proces klonování.
Kdybych se dostal do situace v ransomware, mohl bych se obnovit obnovením týdenního klonu. Jediný trest za použití týdenního klonu má soubory, které by mohly být až jeden týden zastaralé, ale je to mnohem lepší, než zaplatit nějaké zločinecké kretén a výkupné.
Pokud se ocitnete v nešťastné situaci, kdy KeRanger již vydal svou pasti, vím o žádné cestě jinou než vyplacením výkupného nebo opětovným načtením operačního systému OS X a začátkem čisté instalace .
Odstranit přenos
V aplikaci Finder přejděte na položku / Applications (Aplikace).
Najděte aplikaci Přenos a klepněte pravým tlačítkem na její ikonu.
Z rozbalovací nabídky vyberte možnost Zobrazit obsah balení.
V okně Finder, které se otevře, přejděte do / Contents / Resources /.
Vyhledejte soubor označený jako General.rtf.
Pokud je přítomen soubor General.rtf, máte nainstalovanou infikovanou verzi přenosu. Pokud je spuštěna aplikace Přenos, ukončete aplikaci, přetáhněte ji do koše a vyprázdněte koš.
Odstraňte KeRanger
Spustit sledování aktivity , který se nachází na / Applications / Utilities.
V nástroji Sledování aktivity vyberte kartu CPU.
Ve vyhledávacím poli Sledování aktivity zadejte následující:
kernel_servicea pak stiskněte tlačítko návrat.
Pokud služba existuje, bude zobrazena v okně Sledování aktivity.
Pokud je k dispozici, poklepejte na název procesu v nástroji Sledování aktivity.
V okně, které se otevře, klikněte na tlačítko Otevřít soubory a porty.
Poznamenejte si název cesty kernel_service; bude to pravděpodobně něco jako:
/ users / homefoldername / knihovna / kernel_serviceVyberte soubor a potom klepněte na tlačítko Ukončit.
Opakujte výše uvedené pro názvy služeb kernel_time a kernel_complete .
Přestože ukončíte služby v rámci služby Activity Monitor, je třeba také odstranit soubory z počítače Mac. Chcete-li tak učinit, použijte názvy cest, které jste si uvědomili, abyste mohli procházet soubory kernel_service, kernel_time a kernel_complete. (Poznámka: nemusí mít všechny tyto soubory ve vašem Macu.)
Vzhledem k tomu, že soubory, které je třeba odstranit, se nacházejí ve složce knihovny domovské složky, musíte tuto speciální složku vidět. Pokyny, jak to provést, naleznete v článku OS X Skrývá složku knihovny .
Jakmile máte přístup do složky Knihovna, odstraňte výše uvedené soubory přetažením do koše, klepnutím pravým tlačítkem myši na ikonu koše a výběrem možnosti Vyprázdnit koš.