Rangkaian Palo Alto Menemui Penargetan Ransomware Mac
Pada 4 Mac 2016, Palo Alto Networks, sebuah firma keselamatan terkenal, mencatatkan penemuan Ransomware KeRanger yang menjangkiti Transmisi, pelanggan Mac BitTorrent yang popular. Malware sebenar dijumpai dalam pemasang untuk Transmisi versi 2.90.
Laman web Transmisi dengan cepat menurunkan pemasang yang dijangkiti dan menggesa sesiapa yang menggunakan Transmisi 2.90 untuk mengemaskini kepada versi 2.92, yang telah disahkan oleh Transmisi agar bebas daripada KeRanger.
Transmisi tidak membincangkan bagaimana pemasang yang dijangkiti dapat dihoskan di laman web mereka, atau tidak mempunyai Palo Alto Networks yang dapat menentukan bagaimana laman Transmisi dikompromikan.
KeRanger Ransomware
Ransomware KeRanger berfungsi sebagai kebanyakan ransomware, dengan menyulitkan fail pada Mac anda, dan kemudian menuntut pembayaran; dalam kes ini, dalam bentuk bitcoin (kini bernilai sekitar $ 400) untuk memberikan anda kunci penyulitan untuk memulihkan fail anda.
Ransomware KeRanger dipasang oleh pemasang Transmisi yang dikompromi. Pemasang menggunakan sijil pemaju apl Mac yang sah, yang membenarkan pemasangan ransomware untuk melancarkan teknologi Gatekeeper yang lalu , yang menghalang pemasangan perisian hasad pada Mac.
Setelah dipasang, KeRanger menyediakan komunikasi dengan pelayan jauh di rangkaian Tor. Ia kemudian akan tidur selama tiga hari. Sebaik sahaja ia membangkitkan, KeRanger menerima kunci penyulitan dari pelayan jauh dan terus menyulitkan fail pada Mac yang dijangkiti.
Fail-fail yang disulitkan termasuk dalam folder / Pengguna, yang menyebabkan kebanyakan fail pengguna pada Mac yang dijangkiti menjadi disulitkan dan tidak boleh digunakan. Di samping itu, Palo Alto Networks melaporkan bahawa folder / Volum, yang mengandungi titik gunung untuk semua peranti storan yang dilampirkan, kedua-dua tempatan dan rangkaian anda, juga merupakan sasaran.
Pada masa ini, terdapat maklumat bercampur-campur mengenai backup Mesin Masa yang dienkripsi oleh KeRanger, tetapi jika folder / Volum disasarkan, saya tidak dapat melihat sebab mengapa pemacu Mesin Masa tidak akan disulitkan. Saya rasa adalah bahawa KeRanger adalah sejenis ransomware yang baru bahawa laporan bercampur mengenai Mesin Masa hanyalah bug dalam kod ransomware; kadang-kadang ia berfungsi, dan kadangkala ia tidak.
Reaksi Apple
Palo Alto Networks melaporkan ransomware KeRanger kepada Apple dan Transmisi. Kedua-duanya bertindak balas dengan pantas; Apple membatalkan sijil pemaju aplikasi Mac yang digunakan oleh aplikasinya, sekali gus membolehkan Pemelihara Gateway menghentikan pemasangan lebih lanjut versi KeRanger semasa. Apple juga mengemaskini tanda tangan XProject, yang membolehkan sistem pencegahan malware OS X mengenali KeRanger dan mencegah pemasangan, walaupun GateKeeper dilumpuhkan, atau dikonfigurasi untuk tetapan keselamatan yang rendah.
Transmisi dikeluarkan Transmisi 2.90 dari laman web mereka dan dengan cepat dikeluarkan versi bersih Penghantaran, dengan versi versi 2.92. Kami juga boleh mengandaikan mereka melihat bagaimana laman web mereka dikompromi, dan mengambil langkah-langkah untuk mengelakkannya daripada berlaku lagi.
Cara Buang KeRanger
Ingat, memuat turun dan memasang versi aplikasi Transmisi yang dijangkiti kini merupakan satu-satunya cara untuk memperoleh KeRanger. Sekiranya anda tidak menggunakan Transmisi, anda tidak perlu bimbang tentang KeRanger.
Selagi KeRanger belum menyulitkan fail Mac anda, anda mempunyai masa untuk membuang apl dan menghalang penyulitan daripada berlaku. Jika fail Mac anda telah disulitkan, tidak banyak yang boleh anda lakukan kecuali berharap backup anda tidak disulitkan juga. Ini menunjukkan sebab yang sangat baik untuk mempunyai pemacu sandaran yang tidak selalu bersambung dengan Mac anda. Sebagai contoh, saya menggunakan Cloner Copy Carbon untuk membuat klon mingguan data Mac saya . Pemacu perumahan yang diklon tidak dipasang pada Mac saya sehingga diperlukan untuk proses kloning.
Sekiranya saya mengalami masalah ransomware, saya dapat pulih dengan memulihkan dari klon mingguan. Satu-satunya penalti untuk menggunakan klon mingguan adalah mempunyai fail yang boleh sehingga satu minggu dari tarikh, tetapi itu lebih baik daripada membayar beberapa cretin jahat sebuah tebusan.
Sekiranya anda mendapati diri anda berada dalam situasi yang tidak diingini oleh KeRanger yang telah menjejaki perangkapnya, saya tidak tahu cara lain selain sama ada membayar wang tebusan atau memuat semula OS X dan memulakan dengan memasang bersih .
Keluarkan Transmisi
Di Finder , navigasi ke / Aplikasi.
Cari aplikasi Transmisi, dan kemudian klik kanan ikonnya.
Dari menu pop timbul, pilih Tunjukkan Kandungan Pakej.
Dalam tetingkap Finder yang dibuka, navigasi ke / Kandungan / Sumber /.
Cari fail berlabel General.rtf.
Jika fail General.rtf hadir, anda mempunyai versi Transmisi yang dijangkiti. Jika aplikasi Transmisi berjalan, keluar dari aplikasinya, seret ke sampah, kemudian kosongkan sampah.
Keluarkan KeRanger
Pelancaran Aktiviti Pelancaran , yang terletak di / Aplikasi / Utiliti.
Dalam Monitor Aktiviti, pilih tab CPU.
Dalam medan carian Monitor Aktiviti, masukkan yang berikut:
kernel_servicedan kemudian tekan kembali.
Sekiranya perkhidmatan wujud, ia akan disenaraikan dalam tetingkap Aktiviti Monitor.
Jika ada, klik dua kali nama proses dalam Monitor Aktiviti.
Dalam tetingkap yang terbuka, klik butang Buka Fail dan Port.
Buat nota nama laluan kernel_service; ia mungkin akan menjadi seperti:
/ pengguna / homefoldername / Library / kernel_servicePilih fail tersebut, dan kemudian klik butang Keluar.
Ulangi di atas untuk nama kernel_time dan kernel_complete .
Walaupun anda berhenti dari perkhidmatan dalam Monitor Aktiviti, anda juga perlu memadamkan fail dari Mac anda. Untuk berbuat demikian, gunakan nama laluan fail yang anda buat untuk menavigasi ke kernel_service, kernel_time, dan fail kernel_complete. (Nota: Anda mungkin tidak mempunyai semua fail ini pada Mac anda.)
Oleh kerana fail yang anda perlu padamkan terletak di folder Perpustakaan folder rumah anda, anda perlu membuat folder istimewa ini kelihatan. Anda boleh mencari arahan untuk melakukan perkara ini dalam OS X Apakah Menyembunyikan artikel Folder Perpustakaan anda .
Sebaik sahaja anda mempunyai akses ke folder Perpustakaan, hapuskan fail yang disebutkan di atas dengan menyeretnya ke sampah, kemudian mengklik kanan ikon sampah, dan memilih Sampah Kosong.