Palo Alto Networks avastab Ransomware sihtimise Maci
4. märtsil 2016 tegi Palo Alto Networks, tuntud turvafirma, oma avastuse KeRangeri ransomäärt, mis nakatab populaarse Mac BitTorrenti kliendi Edasi. Tegelik pahavara leiti ülekande versiooni 2.90 paigaldaja.
Edastamise veebisait viidi kiiresti nakatunud paigaldaja alla ja palub kõigil, kes kasutavad Transmission 2.90, uuendada versioonile 2.92, mis on KeRangerist vabastamisega kontrollitud.
Edastamine ei ole arutanud, kuidas nakatunud installerit võis oma veebisaidil hostida, ega Palo Alto Networksil ei õnnestunud kindlaks teha, kuidas ülekande saiti ohustati.
KeRanger Ransomware
KeRangeri ransomäärt töötab enamus ransomaterjalina, krüpteerides failid Macis ja nõudes seejärel maksmist; sel juhul bitcoini kujul (praegu hinnatakse umbes 400 dollarit), et anda teile failide taastamiseks krüpteerimisvõti.
KeRangeri ransomäärt installib kompromiteeritud ülekande installer. Installer kasutab kehtivat Mac'i rakenduse arendaja sertifikaati, mis lubab ransomaterjali paigaldada eelmise OS X Gatekeeperi tehnoloogialt , mis takistab Maci pahavara installimist.
Kui installitud, käivitab KeRanger Tor võrgu serveri kaugühenduse. Seejärel läheb kolm päeva magama. Kui see ärkab, võtab KeRanger serveri krüpteerimisvõtme ja jätkab nakatunud Maci failide krüptimist .
Krüptitud failid sisaldavad kataloogis / Users, mille tulemuseks on, et nakatunud Mac enamus kasutaja faile krüpteeritakse ja neid ei kasutata. Lisaks teatab Palo Alto Networks, et ka sihtmärgiks on kataloog / Volume, mis sisaldab kõigi seotud mäluseadmete (nii kohalike kui ka võrguühenduskohtade) paigalduspunkti.
Sel ajal on KeRangeri poolt krüptitud kellaaja masina varukoopiaid puudutav teave, kuid kui kataloogi / volumes on sihitud, siis ma ei näe mingit põhjust, miks aja masinat ei tuleks krüpteerida. Ma arvan, et KeRanger on selline uus ransomäärtükk, mille segaaruanded Time Machineist on lihtsalt ransomware koodi viga; mõnikord see töötab ja mõnikord ka mitte.
Apple reageerib
Palo Alto Networks teatas KeRangeri ransomäärtust nii Apple'ile kui ka edastamiseks. Mõlemad reageerisid kiiresti; Apple tühistas rakenduse poolt kasutatud Maci rakenduse arendaja sertifikaadi, mis lubas Gatekeeperil peatada KeRanger'i praeguse versiooni täiendavad installatsioonid. Apple ajakohastab ka XProject allkirju, mis lubab OS X pahavara vältimise süsteemil KeRanger'i ära tunda ja takistada paigaldamist, isegi kui GateKeeper on keelatud või konfigureeritud vähese turvalisuse seadistamiseks.
Ülekanne eemaldati saatmist 2.90 oma veebisaidilt ja saadeti kiiresti ülekande puhas versioon versiooniga 2,92. Me võime ka eeldada, et nad uurivad, kuidas nende veebisait oli kahjustatud, ja võtnud meetmeid selle ärahoidmiseks.
Kuidas eemaldada KeRanger
Pidage meeles, et rakenduse Edastamine nakatunud versiooni allalaadimine ja installimine on praegu ainuke viis KeRanger'i omandamiseks. Kui te ei kasuta Transmissiooni, siis ei pea te praegu KeRangeriga muretsema.
Niikaua kui KeRanger ei ole veel teie Maci faile krüpteerinud, on teil aega rakenduse eemaldamiseks ja krüptimise vältimiseks. Kui teie Maci failid on juba krüptitud, ei saa seda teha, välja arvatud loodan, et teie varukoopiad pole ka krüptitud. See osutab suurepärasele põhjusele varukoopia loomiseks, mis ei ole alati Maciga ühendatud. Näiteks kasuta Carbon Copy Clonerit oma Maci andmete iganädalase klooni tegemiseks . Selle klooni ajamikomplekt ei ole monteeritud Macile, kuni see on kloonimisprotsessi jaoks vajalik.
Kui mul oleks pääsenud ransomaratoorsesse olukorda, oleksin võinud taastada iganädalase klooni. Nädalaklooni kasutamise ainus karistus on selliste failide hankimine, mis võivad olla kuni üks nädal vananenud, kuid see on palju parem kui mõne halba kretiini maksmine lunaraha eest.
Kui leiad ennast KeRangeri õnnetusjuhtumil, kus Kepuri jõud on juba levinud, siis ma tean, et pole midagi muud kui maksta lunaraha või uuesti OS X-i ja alustada puhta installiga .
Eemalda edastamine
Leidja navigeerige jaotisse / Rakendused.
Leidke rakendus Edastamine ja seejärel paremklõpsake selle ikoonil.
Valige hüpikmenüüst Näita paketi sisu.
Avanevas Finder aknas navigeerige lehele / Contents / Resources / /.
Otsige faili pealkirjaga General.rtf.
Kui fail General.rtf on olemas, on teil olemas installitud Transmissioni nakatunud versioon. Kui rakendus Edastamine käivitub, sulgege rakendus, lohistage see prügikasti ja tühjendage prügikast.
Eemalda KeRanger
Launch Activity Monitor , mis asub aadressil / Applications / Utilities.
Valige aktiivsusmonitoris vahekaart CPU.
Aktiivsuse monitori otsinguväljale sisestage järgmised andmed:
kernel_serviceja seejärel vajutage tagastamist.
Kui teenus on olemas, kuvatakse see Activity Monitor'i aknas.
Kui see on olemas, tehke tegevusmonitoris topeltklõps protsessinimeks.
Avanenud aknas klõpsake nuppu Ava failid ja portid.
Tehke kernel_servicei pisipildi märkus; see on tõenäoliselt midagi sellist:
/ users / homefoldername / Library / kernel_serviceValige fail ja klõpsake nuppu Lõpeta.
Kernel_time ja kernel_complete teenuse nimede puhul korrake ülaltoodut.
Kuigi te lõpetate tegevuse jälgimise teenustest, peate ka failid oma Macilt kustutama. Selleks kasutage failide pääsukoodid, millele te märkisite, kernel_service, kernel_time ja kernel_complete failide navigeerimiseks. (Märkus. Teil ei pruugi kõik need failid teie Macis olla.)
Kuna failid, mida peate kustutama, asuvad teie kodukataloogi kausta Library, peate selle erikausta nähtavaks tegema. Te saate juhiseid selle kohta, kuidas seda OS X-s varjata oma teeki kausta artiklit.
Kui teil on juurdepääs raamatukogu kausta, kustutage ülalnimetatud failid, lohistades need prügikasti, seejärel paremklõpsake prügikasti ikoonil ja valige tühi prügikast.