Palo Alto Networks havaitsee Ransomware-kohdistusmakeja
4. maaliskuuta 2016 Palo Alto Networks, tunnettu tietoturvayritys, julkaisi löytöään KeRanger ransomware infecting Transmission, suosittu Mac BitTorrent -asiakas. Varsinaiset haittaohjelmat löytyivät lähettimen version 2.90 asentimesta.
Lähetyksen verkkosivustolla nopeasti tarttui tartunnan saaneesta asentimesta ja kehottaa käyttäjiä, jotka käyttävät lähetystä 2.90, päivittämään versioon 2.92, jonka Transmission on todennut olevan vapaa KeRangeristä.
Transmission ei ole keskustellut siitä, miten tartunnan saanutta asentajaa voitiin isännöidä verkkosivuillaan, eikä Palo Alto Networks pystynyt määrittämään, miten lähetyssivusto vaarantuisi.
KeRanger Ransomware
KeRangerin ransomware toimii useimpien ransomware-ohjelmien avulla salaamalla Mac-tiedostoja ja vaativia maksua; tässä tapauksessa bitcoin muodossa (tällä hetkellä noin 400 dollaria), jotta saat salausavain tiedostojesi palauttamiseksi.
KeRangerin ransomware asennetaan vaarantuneen Transmission-asennusohjelman avulla. Asentaja käyttää pätevää Mac-sovellusten kehittäjien varmenteen, joka mahdollistaa ransomware-ohjelmiston asentamisen aiemmin OS X: n Gatekeeper-tekniikan ohitse , mikä estää haittaohjelmien asentamisen Maciin.
Asennuksen jälkeen KeRanger muodostaa yhteyden Tor-verkon etäpalvelimelle. Sitten se nukkuu kolme päivää. Kun se herää, KeRanger saa salausavain etäpalvelimelta ja jatkaa salakirjoittamalla tiedostoja tartunnan saaneessa Macissa.
Salatut tiedostot sisältävät / Users-kansiossa olevat tiedostot, jotka johtavat useimpien tartunnan saaneiden Mac-tiedostojen käyttäjätiedostojen salaamiseen ja käyttökelvottomuuteen. Lisäksi Palo Alto Networks raportoi, että myös / volyymikansio, joka sisältää liitetyn pisteen kaikille liitetyille tallennuslaitteille sekä paikallisesti että verkostossasi, on myös tavoite.
Tällä hetkellä on olemassa sekamuotoisia tietoja, jotka koskevat KeRangerin salaamaa Time Machine -varmennusta, mutta jos / Volumes -kansio on kohdistettu, en näe mitään syytä, miksi Time Machine -asemaa ei salata. Oletukseni on, että KeRanger on niin uusi palautusmainos, että Time Machine -raportit ovat yksinkertaisesti bugi ransomware-koodissa; joskus se toimii, ja joskus se ei.
Apple reagoi
Palo Alto Networks raportoi KeRangerin ransomware sekä Applen että Transmissionin. Molemmat reagoivat nopeasti; Apple peruutti sovelluksen käyttämän Mac-sovelluksen kehittäjien varmenteen, jolloin Gatekeeper lopettaisi KeRangerin nykyisen version lisäasennukset. Apple päivitti myös XProject-allekirjoitukset, joiden avulla OS X-haittaohjelmien estojärjestelmä tunnistaa KeRangerin ja estää asennuksen, vaikka GateKeeper-sovellus olisi poistettu käytöstä tai jos se on määritetty matalan turvatason asetukseksi.
Transmission poistanut Transmission 2.90: n verkkosivustoltaan ja julkaisi nopeasti Transmissionin puhtaan version, jonka versionumero oli 2.92. Voimme myös olettaa, että he tutkivat, miten heidän verkkosivusto on vaarantunut ja että ryhdytään toimiin estääkseen sen tapahtumasta uudelleen.
Kuinka Poista KeRanger
Muista, että lähetyssovelluksen tartunnan saaneesta versiosta lataaminen ja asentaminen on tällä hetkellä ainoa keino hankkia KeRanger. Jos et käytä lähetystä, sinun ei tarvitse huolehtia KeRangerista.
Niin kauan kuin KeRanger ei ole vielä salannut Mac-tiedostojasi, sinulla on aikaa poistaa sovellus ja estää salaus epäonnistumisesta. Jos Macin tiedostot ovat jo salatut, ei ole paljon voit tehdä, paitsi toivottavasti varmuuskopioitasi ei ole salattu. Tämä osoittaa erittäin hyvän syyn ottaa käyttöön varmuuskopio-asema, joka ei aina ole yhteydessä Mac-tietokoneeseesi. Esimerkkinä käytän Carbon Copy Cloneria tekemään viikoittaisen kloonini Macin tietoihin . Kiintolevyn kotelo ei ole asennettu Maciin, ennen kuin se tarvitsee kloonausprosessia varten.
Jos olisin voinut ryöstää iranilaisuustilanteen, olisin voinut saada talteen palauttamalla viikoittaisesta kloonista. Viikoittaisen kloonin ainoa seuraamus on saada tiedostoja, jotka saattavat olla jopa viikon vanhentuneita, mutta se on paljon parempi kuin maksaa eräitä epäkohteliaita kreetan lunnaita.
Jos löydät itsesi valitessasi, että KeRanger on jo luonut ansaan, en tiedä millään tavoin ulos kuin maksamaan lunnaita tai lataamalla OS X: tä uudelleen ja aloittamalla puhtaalla asennuksella .
Poista lähetys
Siirry Finderissa kohtaan / Applications (Sovellukset).
Etsi lähetys -sovellus ja napsauta sen kuvaketta hiiren kakkospainikkeella.
Valitse ponnahdusvalikosta Näytä paketin sisältö.
Avaa Finderin ikkuna siirtymällä kohtaan / Contents / Resources /.
Etsi tiedosto General.rtf.
Jos General.rtf-tiedosto on läsnä, sinulla on lähetetty tarttuva versio lähetyksestä. Jos lähetys-sovellus on käynnissä, sulje sovellus, vedä se roskakoriin ja tyhjennä roskakori.
Poista KeRanger
Launch Activity Monitor , joka sijaitsee osoitteessa / Applications / Utilities.
Valitse Activity Monitor, CPU-välilehti.
Kirjoita Activity Monitorin hakukenttään seuraavat tiedot:
kernel_serviceja paina sitten paluuta.
Jos palvelu on olemassa, se näkyy Activity Monitor -ikkunassa.
Jos käytössä, kaksoisnapsauta prosessin nimeä Activity Monitor -ohjelmassa.
Avaa avautuvassa ikkunassa Avaa tiedostot ja portit -painike.
Merkitse kernel_service polun nimi; se todennäköisesti on jotain:
/ Users / homefoldername / Library / kernel_serviceValitse tiedosto ja valitse sitten Lopeta-painike.
Toista yllä mainitut ytimen_aika ja ydin_yksityispalvelun nimet.
Vaikka poistut palveluista Activity Monitor -ohjelmistosta, sinun on myös poistettava Mac-tietokoneelta olevat tiedostot. Voit tehdä niin käytä tiedostotietunnelmia, joihin teit huomion, navigoidaksesi ytimen_nimi-, ytimen_aika- ja ytimen_paketiedostoihin. (Huomaa: Macille ei välttämättä ole kaikkia näitä tiedostoja.)
Koska poistettavat tiedostot sijaitsevat kotikansion kirjaston kansioissa, sinun on tehtävä tämä erityinen kansio näkyväksi. Löydät ohjeet, miten tämä tehdään OS X: ssä piilottaa kirjaston kansion artikkelin.
Kun olet saanut käyttöoikeudet Kirjasto-kansioon, poista edellä mainitut tiedostot vetämällä ne roskakoriin ja napsauttamalla roskakorikuvaketta hiiren kakkospainikkeella ja valitsemalla Tyhjennä roskakori.