Palo Alto Networks ûntdekt Ransomware Targeting Macs
Op 4 maart 2016 hat Palo Alto Networks, in bekend feilich bedriuw, syn ûntdekking fan KeRanger ransomware ynfiere troch Transmission, de populêre Mac BitTorrent client. De eigentlike malware is fûn binnen it ynstaller foar Transmission-ferzje 2.90.
De webside fan Ferkearing hat de ynstekteare ynstallearder fluch nedich en ropt elkenien dy't gebrûk Transmission 2.90 om te aktualisearjen nei ferzje 2.92, dy't befêstige is troch Transmission te keap fan KeRanger.
Ferbining hat net besprutsen hoe't de infizare ynstallaasje op har webside hûsd wurde koe, en Palo Alto netwurden koe bepale hoe't de oerstapplak befrege waard.
KeRanger Ransomware
De KeRanger ransomware wurket as de measte ransomware docht, troch fersifering fan triemmen op jo Mac, en dêrnei fereasket beteljen; yn dit gefal yn 'e foarm fan in bitcoin (op it stuit dat $ 400 wearde is) om jo mei de fersiferingskaai te leverjen om jo bestannen werom te heljen.
De KeRanger ransomware is ynstallearre troch de ynstekker ferwiderjende transmissjonator. De ynstallator makket gebrûk fan in jildige app-sertifikaat foar Mac-ûntwikkeling, wêrtroch de ynstallaasje fan 'e ransomware nei OS X's Gatekeeper-technology flugt , wat de ynstallaasje fan malware op' e Mac foarkomt.
Ien ynstallearre, sette KeRanger de kommunikaasje mei in fergese server op it Tor-netwurk. Dêrnei giet it om trije dagen sliepe. Ienris wekkeret KeRanger de fersiferingskaai fan 'e remote server en giet troch om de bestannen op' e infiere Mac te fersiferjen .
De triemmen kodearre befetsje dyjingen yn 'e map of / brûkers, wêrtroch't de meast brûkersdateken op' e infiere Mac wurde fersifere en net brûkber. Dêrnjonken rapportearret Palo Alto Networks dat de map / Voluminten, dy't it berikpunt befetsje foar alle oanboude opslachapparaten, sawol lokale en yn jo netwurk, ek in doel.
Op dit momint is der mingde ynformaasje oer Time Machine-opsjes dy 't troch KeRanger fersifere binne, mar as de map / Voluminten rjochte is, sjoch ik gjin reden wêrom't in Time Machine-drive net fersifere wurde sil. Myn tinken is dat KeRanger sa'n nije stikje ransomware is dat de gemiddelde rapporten oer Time Machine in gewoanwei brek binne yn 'e ransomware-koade; soms wurket it, en soms is it net.
Apple Reaksjes
Palo Alto Networks rapportearret de KeRanger ransomware oan Apple en Transmission. Beide reageare fluch; Apple slút de Mac app-ûntwikkelder sertifikaat troch de app brûkt, sadat Gatekeeper de mooglikheid om mear ynstallaasjes fan 'e aktuele ferzje fan KeRanger te stopjen. Apple hat ek súksesfol fan XProject aktualisearre, wêrtroch it OS X-malware-previnsje-systeem KeRanger te erkennen en te bewarjen fan 'e ynstallaasje, ek as GateKeeper is útskeakele of is foar in leech-feiligens-ynstelling konfigurearre.
Transmission fuortsettet Transmission 2.90 fan har webside en rapste in skjinne ferzje fan Transmission, mei in ferzjenûmer 2.92. Wy kinne ek sizze dat se sykje yn hoe't har webside yndrukt waard en maatregels nimme om it te foarkommen dat it wer opnommen is.
Hoe kinne KeRanger fuortsmite
Tink derom, downloaden en ynstallearjen fan de infizare ferzje fan de Transmission-app is op it stuit de iennige manier om KeRanger te krijen. As jo gjin oerdracht brûke, moatte jo op dit stuit gjin soargen hawwe oer KeRanger.
Hoewol KeRanger noch gjin fersifering fan jo Mac-bestannen hat, hawwe jo tiid om de app te ferwiderjen en te foarkommen dat de fersifering fan it optreden komt. As jo triemmen fan Mac binne al fersifere, dan is it net folle dat jo dwaan kinne, útsein jo hoopje dat jo reservekopyers ek net fersifere binne. Dit wiist út in tige goede reden foar in reservekopy dat net altyd ferbûn is mei jo Mac. As foarbyld, brûke ik Carbon Copy Cloner om in wykklon te meitsjen fan myn Mac's gegevens . It rydbewiis húsfesting dat klon is net op myn Mac ynstalleare oant it nedich is foar it kloningsproses.
As ik in ransomware-situaasje rûn hie, koe ik weromhelje troch opnij te setten fan 'e wyklikse klon. De iennichste straf foar it brûken fan 'e wyklikse klon hat triemen dy't oant ien wike ut' e dei wêze kinne, mar dat is folle better as it beteljen fan in leuke kretin in ferlossing.
As jo sels yn 'e ûngelokkige sitewaasje fan KeRanger fûn hawwe, dy't al syn trap al rûn hat, ken ik gjin oare wei as it fergoedzjen fan ransom of OS X opnij en begjinne mei in skjinne ynstallaasje .
Fuotstip fuortsmite
Sykje yn 'e Finder nei / Applikaasjes.
Sykje de Transmission-app, en klik mei it rjochts-klik op it byldkaike.
Gean út it pop-up-menu, selektearje Skeakelje ynhâld pakket.
Yn it finster fan finster iepenje, navigearje nei / Ynhâld / Middelen /.
Sjoch foar in triem mei de namme General.rtf.
As de triem General.rtf oanwêzich is, hawwe jo in infyere ferzje fan Transmission ynstallearre. As de ferfanger app ferdwynt, bewarje de app, ferpleatse it nei it jiskefet, en dan lege de jiskefet.
KeRanger fuortsmite
Start Aktiviteitsmonitor , lokaasje op / Applikaasjes / Utilities.
Selektearje yn Aktiviteitmonitor de ljepper CPU.
Sykje op it sykfjild yn it sykfjild, sjogge jo it folgjende:
kernel_serviceen druk op 'e weromreis.
As de tsjinst bestiet, sil it yn it finster fan aktiviteitenmonitoren opnommen wurde.
As jo oanwêzich binne, dûbelklikke op de prosesamme yn Activity Monitor.
Yn it finster iepenje klikje op de knop Iepen en triemen.
Meitsje in notysje fan de kernel_service-padenName; it sil wierskynlik wêze wat:
/ brûkers / homefoldername / Library / kernel_serviceSelektearje it bestân en klik dan op 'e knop Fuortsmite.
Werje de boppesteande foar de kernel_time en kernel_complete tsjinstennammen.
Hoewol jo de tsjinsten yn 'e aktiviteitenmonitor oplosse, moatte jo ek de triemmen fan jo Mac wiskje. Om dit te dwaan, brûk de triempaadnammen dy't jo oanmeld ha om te navigearjen nei de kernel_service, kernel_time, en kernel_complete bestannen. (Opmerking: Jo kinne allinich dizze triemmen op jo Mac hawwe.)
Omdat de triemmen dy jo ferwiderje nedich binne yn'e bibleteek fan jo biblioteek lokaasje sitte, moatte jo dizze spesjale map sichtber meitsje. Jo kinne ynstruksjes fine foar hoe't jo dit dwaan yn 'e OS X Hide Your Article Folder article.
As jo tagong hawwe ta de mapbibleteek, wiskje de hjirboppe neamde triemmen troch te dragjen se nei it jiskefet, klik dan op 'e juste klikke op it jiskefetsyk en selektearje Lege leegje.