Palo Alto Networks descoperă că Ransomware vizează Mac-urile
Pe 4 martie 2016, Palo Alto Networks, o companie de securitate binecunoscută, a publicat descoperirea lui KeRanger ransomware care infectează Transmission, popularul client Mac BitTorrent. Malware-ul real a fost găsit în cadrul programului de instalare pentru versiunea 2.90 de transmisie.
Site-ul de transmisie a preluat repede instalatorul infectat și îi îndeamnă pe oricine care utilizează Transmisia 2.90 să se actualizeze la versiunea 2.92, care a fost verificată de Transmission pentru a fi lipsită de KeRanger.
Transmiterea nu a discutat despre modul în care instalatorul infectat a putut fi găzduit pe site-ul său web, și nici nu a reușit Palo Alto Networks să determine modul în care a fost compromis site-ul de transmisie.
KeRanger Ransomware
Aplicația KeRanger ransomware funcționează ca majoritatea ransomware-ului, prin criptarea fișierelor de pe Mac și apoi solicitând plata; în acest caz, sub forma unui bitcoin (în prezent, în valoare de aproximativ 400 $) pentru a vă oferi cheia de criptare pentru a recupera fișierele.
Software-ul KeRanger este instalat de instalatorul de transmisiuni compromis. Programul de instalare utilizează un certificat valabil pentru dezvoltatorii de aplicații Mac, permițând instalarea dispozitivului ransomware pentru a acoperi tehnologia Gatekeeper de la OS X , care previne instalarea de programe malware pe Mac.
Odată instalat, KeRanger stabilește o comunicare cu un server la distanță în rețeaua Tor. Apoi se dorește să doarmă timp de trei zile. Odată ce se trezește, KeRanger primește cheia de criptare de la serverul de la distanță și continuă să cripteze fișierele de pe Mac-ul infectat.
Fișierele criptate includ pe cele din dosarul / Users, ceea ce are ca rezultat faptul că majoritatea fișierelor de utilizatori de pe Mac-ul infectat devin criptate și nu sunt utilizabile. În plus, Palo Alto Networks raportează că dosarul / Volumes, care conține punctul de montare pentru toate dispozitivele de stocare atașate, atât locale cât și în rețea, este, de asemenea, o țintă.
În acest moment, există informații mixte despre backup-urile Time Machine fiind criptate de KeRanger, dar dacă folderul / Volumes este vizat, nu văd niciun motiv pentru care un drive Time Machine nu ar fi criptat. Cred că KeRanger este o nouă piesă de răscumpărare că rapoartele mixte despre Time Machine sunt pur și simplu un bug în codul ransomware; uneori funcționează și, uneori, nu.
Apple reacționează
Palo Alto Networks a raportat ransomware-ul KeRanger atât pentru Apple, cât și pentru Transmisie. Ambii au reacționat rapid; Apple a revocat certificatul dezvoltatorului de aplicații Mac folosit de aplicație, permițând astfel Gatekeeper să oprească instalările ulterioare ale versiunii curente a lui KeRanger. Apple a actualizat și semnăturile XProject, permițând sistemului de prevenire a malware-ului OS X să recunoască KeRanger și să prevină instalarea, chiar dacă GateKeeper este dezactivat sau este configurat pentru o setare de securitate scăzută.
Transmisia a fost eliminată din transmisia 2.90 de pe site-ul lor și a republicat repede o versiune curată a transmisiei, cu un număr de versiune 2.92. Putem, de asemenea, să presupunem că analizează modul în care site-ul lor a fost compromis și luând măsuri pentru a împiedica reluarea acestuia.
Cum să eliminați KeRanger
Rețineți că descărcarea și instalarea versiunii infectate a aplicației de transmisie este în prezent singura modalitate de a achiziționa KeRanger. Dacă nu utilizați transmisia, în prezent nu trebuie să vă faceți griji cu privire la KeRanger.
Atâta timp cât KeRanger nu a criptat încă fișierele Mac, aveți timp să eliminați aplicația și să împiedicați să apară criptarea. Dacă fișierele Mac-ului dvs. sunt deja criptate, nu puteți face prea multe lucruri decât dacă speranțele dvs. nu au fost criptate. Acest lucru arată un motiv foarte bun pentru a avea o unitate de rezervă care nu este întotdeauna conectată la calculatorul dvs. Mac. De exemplu, folosesc Carbon Copy Cloner pentru a face o clonă săptămânală a datelor mele Mac . Carcasa unității care clonă nu este montată pe calculatorul meu Mac până când nu este necesară pentru procesul de clonare.
Dacă aș fi ajuns într-o situație de răscumpărare, aș fi putut fi recuperată prin restaurarea din clona săptămânală. Singura pedeapsă pentru utilizarea clonei săptămânale este aceea de a avea fișiere care ar putea să depășească o săptămână, dar este mult mai bine decât să plătești niște răscumpărare răutăcioase.
Dacă vă aflați în situația nefericită a lui KeRanger, care și-a lansat deja capcana, nu știu altceva decât să plătesc răscumpărarea sau să reîncarc OS X și să încep de la o instalare curată .
Eliminați transmisia
În Finder , navigați la / Applications (Aplicații).
Găsiți aplicația Transmitere, apoi faceți clic dreapta pe pictograma sa.
Din meniul pop-up, selectați Afișați conținutul pachetului.
În fereastra Finder care se deschide, navigați la / Contents / Resources /.
Căutați un fișier numit General.rtf.
Dacă este prezent fișierul General.rtf, aveți o versiune infectată de transmisie instalată. Dacă rulează aplicația Transmisie, închideți aplicația, trageți-o în coșul de gunoi și apoi goliți coșul de gunoi.
Îndepărtați KeRanger
Lansați monitorizarea activității , localizată la / Applications / Utilities.
În Monitorul de activitate, selectați fila CPU.
În câmpul de căutare Monitor activități, introduceți următoarele:
kernel_serviceși apoi apăsați înapoi.
Dacă serviciul există, va fi afișat în fereastra Monitorului de activitate.
Dacă este prezent, faceți dublu clic pe numele procesului în Activity Monitor.
În fereastra care se deschide, faceți clic pe butonul Deschidere fișiere și porturi.
Notați numele de cale kernel_service; probabil va fi ceva de genul:
/ utilizatorii / homefoldername / Library / kernel_serviceSelectați fișierul, apoi faceți clic pe butonul Oprire.
Repetați cele de mai sus pentru numele de servicii kernel_time și kernel_complete .
Deși ați părăsit serviciile din cadrul Activity Monitor, trebuie să ștergeți și fișierele de pe Mac. Pentru a face acest lucru, utilizați numele de cale de fișiere pe care le-ați notat pentru a naviga la fișierele kernel_service, kernel_time și kernel_complete. (Notă: Este posibil să nu aveți toate aceste fișiere prezente pe calculatorul dvs. Mac.)
Deoarece fișierele pe care trebuie să le ștergeți se află în dosarul Bibliotecă al folderului dvs. de domiciliu, va trebui să faceți acest folder special vizibil. Puteți găsi instrucțiuni despre cum puteți face acest lucru în articolul OS X Hiding Your Library Folder .
Odată ce ați accesat dosarul Bibliotecă, ștergeți fișierele menționate mai sus prin glisarea lor în coșul de gunoi, apoi făcând clic cu butonul din dreapta pe pictograma coșului de gunoi și selectând Golire coș de gunoi.