KeRanger: Prvi otkriveni Mac Ransomware u divljini

Palo Alto Networks otkriva Ransomware Targeting Macs

4. marta 2016. godine, Palo Alto Networks, poznata sigurnosna firma, objavila je otkriće KeRanger ransomware infektivnog prenosa, popularnog Mac BitTorrent klijenta. Stvarni zlonamerni softver pronađen je u okviru instalatera za Transmission verziju 2.90.

Internet stranica Transmission brzo je preuzela zaraženu instalaciju i poziva svakoga ko koristi Prenos 2.90 da bi se ažurirao na verziju 2.92, koja je verifikovana Transmissionom da nije dostupna KeRanger.

Prenos nije razmatrao kako je zaraženi instalater mogao da bude domaćin na svojoj web stranici, niti je Palo Alto Networks bio u mogućnosti da odredi kako je lokacija prenosa ugrožena.

KeRanger Ransomware

KeRanger ransomware radi većina ransomware-a, šifrirajući datoteke na Mac-u, a potom zahtevajući plaćanje; u ovom slučaju, u obliku bitcoin-a (trenutno vredi oko 400 dolara) da vam obezbedi ključ za šifrovanje da biste oporavili svoje datoteke.

KeRanger ransomware je instaliran od strane ugroženog instalatera prenosa. Instalater koristi važeći sertifikat za razvoj aplikacija za Mac, omogućavajući instalaciju ransomware-a da prolazi kroz tehnologiju Gatekeeper OS X , koja sprečava instaliranje malvera na Mac-u.

Jednom instaliran, KeRanger postavlja komunikaciju sa udaljenim serverom na mreži Tor. Onda odlazi na spavanje tri dana. Kada se buni, KeRanger prima ključ za šifrovanje sa udaljenog servera i nastavlja da šifrira datoteke na zaraženom Macu.

Datoteke šifrovane uključuju one u folderu / korisnicima, što dovodi do toga da većina korisničkih datoteka na zaraženom Macu postane šifrovana i ne mogu se koristiti. Pored toga, Palo Alto Networks izveštava da je folder / Volume, koji sadrži tačku montiranja za sve povezane uređaje za skladištenje, kako lokalno, tako i na vašoj mreži, takođe cilj.

U ovom trenutku postoje mješovite informacije o rezervnim kopijama Time Machine-a koje su Keithanger šifrirane, ali ako je ciljana fascikla / Volumes, ne vidim razlog zašto se uređaj za Time Machine ne šifrira. Pretpostavljam da je KeRanger takav novi komad ransomware-a koji mešani izveštaji o Time Machine-u predstavljaju samo grešku u kodu ransomware; ponekad radi, a ponekad i ne.

Apple reaguje

Palo Alto Networks je izveštao KeRanger ransomware kako za Apple, tako i za prenos. Oboje su brzo reagovali; Apple je poništio sertifikat za programer za Mac aplikacije koje je koristila aplikacija, čime je omogućio Gatekeeper-u da zaustavi dalje instalacije trenutne verzije KeRanger-a. Apple je takođe ažurirao XProject potpise, omogućavajući sistemu za sprečavanje zlonamjernog softvera OS X prepoznati KeRanger i sprečiti instalaciju, čak i ako je GateKeeper onemogućen ili je konfigurisan za podešavanje male sigurnosti.

Prenos je uklonjen Prenos 2.90 sa njihove internet stranice i brzo izdao čistu verziju Prenosa, sa verzijom od 2.92. Takođe možemo pretpostaviti da oni razmatraju kako je njihova internet stranica ugrožena i da preduzimaju mere kako bi se to sprečilo da se ponovo desi.

Kako ukloniti KeRanger

Zapamtite, preuzimanje i instaliranje zaražene verzije aplikacije Transmission je trenutno jedini način za preuzimanje KeRanger-a. Ako ne koristite Transmission, trenutno ne morate da brinete o KeRanger-u.

Dokle god KeRanger još nije šifrovao vaše Macove datoteke, imate vremena da uklonite aplikaciju i sprečite da se šifrovanje pojavi. Ako su fajlovi vašeg Mac-a već šifrirani, nema mnogo toga što možete učiniti, osim ako niste rezervisali rezervne kopije. Ovo ukazuje na dobar razlog za rezervnu vožnju koja nije uvek povezana sa vašim Mac-om. Kao primer, koristim Carbon Copy Cloner da napravim nedeljni klon podataka iz mog Maca . Pogon koji se nalazi u tom klonu nije postavljen na moj Mac dok nije potreban za proces kloniranja.

Da sam ušla u situaciju u kojoj sam se vratio, mogla bih da se oporavim tako što ću vratiti nedeljni klon. Jedina kazna za korištenje nedjeljnog klona ima datoteke koje mogu biti do jedne nedelje zastarele, ali to je mnogo bolje nego plaćanje nekakvog krivičnog kretina za otkup.

Ako se nađete u nesrećnoj situaciji KeRanger-a koja je već pokrenula svoju zamku, ne znam ništa drugo nego plaćanje otkupa ili preopterećenje OS X-a i početak sa čistom instalacijom .

Ukloni prenos

U Finderu idite na / Applications.

Pronađite aplikaciju Prenos, a zatim kliknite desnim tasterom miša na ikonu.

U iskačućem meniju izaberite Prikaži sadržaj paketa.

U prozoru Finder koji se otvori, pređite na / Contents / Resources /.

Potražite datoteku sa oznakom General.rtf.

Ako je datoteka General.rtf prisutna, imate inficiranu verziju prenosa. Ako aplikacija Prenos radi, napustite aplikaciju, prevucite je u smeće, a zatim ispraznite smeće.

Uklonite KeRanger

Pokrenite aktivnost Monitor , nalazi se u / Applications / Utilities.

U programu Activity Monitor izaberite karticu CPU.

U polje za pretragu Activity Monitor unesite sledeće:

kernel_service

a zatim pritisnite povratak.

Ako usluga postoji, ona će biti navedena u prozoru Activity Monitor.

Ako postoje, dvaput kliknite na ime procesa u Activity Monitor.

U prozoru koji se otvori kliknite na dugme Otvori datoteke i portove.

Zabeležite putanju kernel_service; verovatno će biti nešto poput:

/ korisnici / homefoldername / biblioteka / kernel_service

Izaberite datoteku, a zatim kliknite na dugme Quit.

Ponovite gore za kernel_time i kernel_complete imena servisa.

Iako napuštate usluge unutar Activity Monitor-a, potrebno je obrisati datoteke sa vašeg Mac-a. Da biste to uradili, koristite putanje imena fajlova koje ste napravili da biste krenuli do kernel_service, kernel_time i kernel_complete datoteka. (Napomena: Možda nemate sve ove datoteke prisutne na Mac računaru.)

Pošto se datoteke koje trebate brisati nalaze u folderu Biblioteke vašeg kućnog fascikla, morate da napravite ovaj poseban folder vidljiv. Možete pronaći uputstva kako to učiniti u članku OS X Is Hiding Your Library Folder .

Jednom kada imate pristup folderu Biblioteka, obrišite gore pomenute datoteke tako što ćete ih prevući u smeće, a zatim desnim tasterom miša na ikonu smeća i izborom praznog smeća.