Palo Alto Networks zisťuje Ransomware zacielenie na počítače Mac
Dňa 4. marca 2016 spoločnosť Palo Alto Networks, známa bezpečnostná firma, zverejnila svoj objav KeRanger ransomware infecting Transmission, obľúbeného Mac BitTorrent klienta. Aktuálny škodlivý softvér bol nájdený v inštalačnom systéme pre prenosovú verziu 2.90.
Webová lokalita vysielania rýchlo stiahla napadnutého inštalátora a naliehavo vyzýva ktokoľvek, kto používa Prevod 2.90, aby sa aktualizoval na verziu 2.92, ktorá bola overená prenosom bez KeRanger.
Vysielanie nehovorilo o tom, ako bol infikovaný inštalátor schopný byť umiestnený na ich webových stránkach, a ani spoločnosť Palo Alto Networks nebola schopná určiť, ako bola stránka prenosu ohrozená.
KeRanger Ransomware
KeRanger ransomware funguje tak, ako väčšina ransomware robí, šifrovanie súborov na Mac, a potom náročné platby; v tomto prípade v podobe bitcoin (v súčasnej dobe približne 400 dolárov), aby vám poskytol šifrovací kľúč na obnovenie súborov.
Kranangerový ransomware je inštalovaný kompromisným inštalátorom prenosu. Inštalátor používa platný certifikát pre vývojárov aplikácií pre Mac, ktorý umožňuje inštaláciu ransomware pre let okolo technológie Gatekeeper OS X , ktorá zabraňuje inštalácii škodlivého softvéru na Mac.
Po inštalácii nastaví KeRanger komunikáciu so vzdialeným serverom v sieti Tor. Potom ide tri dni na spánok. Akonáhle sa prebudí, KeRanger prijíma šifrovací kľúč zo vzdialeného servera a pokračuje v šifrovaní súborov na infikovanom Mac.
Súbory šifrované zahŕňajú súbory vo priečinku / používateľov, čo vedie k tomu, že väčšina používateľských súborov na infikovanom počítači Mac je šifrovaná a nepoužiteľná. Okrem toho spoločnosť Palo Alto Networks oznámila, že priečinok / zväzky, ktorý obsahuje miesto pripojenia pre všetky pripojené úložné zariadenia, lokálne i vo vašej sieti, je tiež cieľom.
V súčasnosti existujú zmiešané informácie o tom, že zálohovanie Time Machine je zašifrované KeRangerom, ale ak je adresár / zväzky zacielený, nevidím žiadny dôvod, prečo by mechanizmus Time Machine nebol šifrovaný. Myslím, že KeRanger je taký nový kúsok ransomware, že zmiešané správy o Time Machine sú jednoducho chybou v kóde ransomware; niekedy to funguje a niekedy nie.
Apple reaguje
Spoločnosť Palo Alto Networks oznámila ransomware spoločnosti KeRanger spoločnosti Apple ako aj prenosu. Obaja reagovali rýchlo; Spoločnosť Apple zrušila certifikát vývojárov aplikácií pre Mac, ktorý aplikácia používa, a tak umožnila spoločnosti Gatekeeper zastaviť ďalšie inštalácie aktuálnej verzie programu KeRanger. Spoločnosť Apple taktiež aktualizovala podpisy XProject, čo umožňuje systému ochrany pred škodlivým softvérom OS X rozpoznať KeRanger a zabrániť inštalácii, a to aj vtedy, keď je GateKeeper zakázaný alebo je nakonfigurovaný na nastavenie s nízkym bezpečnostným zabezpečením.
Prenos bol odstránený z vysielania 2.90 z ich webových stránok a rýchlo znova vydal čistú verziu prenosu s číslom verzie 2.92. Môžeme tiež predpokladať, že sa pozerajú na to, ako ich webové stránky boli ohrozené, a prijali opatrenia na zabránenie tomu, aby sa to stalo znova.
Ako odstrániť KeRanger
Nezabudnite, že sťahovanie a inštalácia infikovanej verzie aplikácie prenosu je v súčasnosti jediným spôsobom, ako získať KeRanger. Ak nepoužívate prenos, v súčasnosti sa nemusíte starať o KeRanger.
Pokiaľ KeRanger ešte nešifroval vaše Macové súbory, máte čas na odstránenie aplikácie a zabránenie šifrovaniu. Ak sú súbory vášho počítača Mac už šifrované, nemôžete urobiť veľa, okrem toho, že vaše zálohy neboli šifrované. To poukazuje na veľmi dobrý dôvod na vytvorenie záložnej jednotky, ktorá nie je vždy pripojená k počítaču Mac. Ako príklad používam Carbon Copy Cloner, aby som spravil týždenný klon údajov z Macu . Kryt jednotky, ktorý klon nie je nainštalovaný na počítači Mac, kým nie je potrebný na proces klonovania.
Keby som narazil na situáciu v ransomware, mohol by som sa vrátiť obnovením z týždenného klonu. Jediný trest za používanie týždenného klonu má súbory, ktoré môžu byť až jeden týždeň zastarané, ale je to oveľa lepšie ako zaplatiť niektoré zlomyseľné kretén ako výkupné.
Ak sa ocitnete v nešťastnej situácii, keď KeRanger už vydal svoju pascu, v žiadnom prípade neviem, ako vyplácať výkupné ani opätovne načítať OS X a začať s čistou inštaláciou .
Odstrániť prenos
V aplikácii Finder prejdite na položku / Applications.
Nájdite aplikáciu Prenos a kliknite pravým tlačidlom na jej ikonu.
V rozbaľovacej ponuke vyberte Zobraziť obsah balíka.
V okne Finder, ktoré sa otvorí, prejdite na / Contents / Resources /.
Vyhľadajte súbor s označením General.rtf.
Ak je prítomný súbor General.rtf, máte nainštalovanú verziu prenosu. Ak je spustená aplikácia Prenos, ukončite aplikáciu, presuňte ju do koša a potom vyprázdnite koš.
Odstráňte KeRanger
Spustiť Monitor aktivity , ktorý sa nachádza na / Applications / Utilities.
V aplikácii Monitorovanie aktivity vyberte kartu CPU.
V poli vyhľadávania služby Activity Monitor zadajte nasledujúce:
kernel_servicea potom stlačte tlačidlo návratu.
Ak služba existuje, bude uvedená v okne sledovania aktivity.
Ak je k dispozícii, dvakrát kliknite na názov procesu v aplikácii Activity Monitor.
V okne, ktoré sa otvorí, kliknite na tlačidlo Otvoriť súbory a porty.
Poznačte si cestu kernel_service; to bude pravdepodobne niečo ako:
/ Users / homefoldername / Library / kernel_serviceVyberte súbor a potom kliknite na tlačidlo Ukončiť.
Opakujte vyššie uvedený názov služby kernel_time a kernel_complete .
Hoci ukončíte služby v rámci programu Monitor aktivity, je potrebné odstrániť aj súbory z vášho počítača Mac. Ak chcete tak urobiť, použite názvy súborov, ktoré ste si poznačili, a prejdite na súbory kernel_service, kernel_time a kernel_complete. (Poznámka: Možno nemáte všetky tieto súbory vo vašom Macu.)
Keďže súbory, ktoré potrebujete odstrániť, sa nachádzajú v priečinku Knižnica vášho domovského priečinka, musíte túto špeciálnu zložku vidieť. Pokyny, ako to urobiť, nájdete v článku OS X Skrytie vášho priečinka v knižnici .
Keď máte prístup do priečinka Knižnica, odstráňte vyššie uvedené súbory tým, že ich pretiahnete do koša, kliknete pravým tlačidlom myši na ikonu koša a vyberiete položku Vyprázdniť koš.