Netwerks ta 'Palo Alto jiskopru Ransomware Targeting Macs
Fl-4 ta 'Marzu 2016, Palo Alto Networks, ditta tas-sigurtà magħrufa sew, ikkonkludiet l-iskoperta tagħha ta' KeRanger ransomware li tinfetta Trażmissjoni, il-klijent popolari BitTorrent Mac. Il-malware attwali nstab fi ħdan l-installatur għall-Verżjoni tat-Trażmissjoni 2.90.
Il-websajt tat-Trażmissjoni rtirat malajr lill-installatur infettat u qed tħeġġeġ lil kull min juża t-Trażmissjoni 2.90 biex jaġġorna l-verżjoni 2.92, li ġiet ivverifikata minn Trażmissjoni biex tkun ħielsa minn KeRanger.
It-trażmissjoni ma ddiskutietx kif l-installatur infettat seta 'jiġi ospitat fuq il-websajt tagħhom, lanqas ma Palo Alto Networks ma setax jiddetermina kif is-sit tat-Trażmissjoni kien kompromess.
KeRanger Ransomware
Il-KeRanger ransomware jaħdem bħala l-aktar ransomware, billi jinkorpora fajls fuq Mac tiegħek, u mbagħad jitlob ħlas; f'dan il-każ, fil-forma ta 'bitcoin (attwalment stmata madwar $ 400) biex jagħtik il-kodiċi ta' encryption biex tirkupra l-fajls tiegħek.
Il-KeRanger ransomware huwa installat mill-installatur tat-Trażmissjoni kompromess. L-installatur jagħmel użu minn ċertifikat validu tal-iżviluppatur tal-Mac app, li jippermetti l-installazzjoni tal-ransomware li jtir it-teknoloġija tal-Gatekeeper tal-OS X li jipprevjeni l-installazzjoni tal-malware fuq il-Mac.
Ladarba jiġi installat, KeRanger jistabbilixxi komunikazzjoni ma 'server remot fuq in-netwerk Tor. Imbagħad tmur torqod għal tlett ijiem. Ladarba awakens, KeRanger jirċievi ċ-ċifri tal-kritika mis-server remot u jipproċedi biex jikkripta fajls fuq il-Mac infettata.
Il-fajls encrypted jinkludu dawk fil-folder ta 'l-Utenti /, li tirriżulta f'ħafna mill-fajls ta' l-utent fuq il-Mac infettati li jsiru kodifikati u li ma jistgħux jintużaw. Barra minn hekk, Palo Alto Networks tirrapporta li l-folder / Volumes, li fih il-punt ta 'muntatura għall-mezzi kollha tal-ħażna mehmuża, kemm lokali kif ukoll fuq in-netwerk tiegħek, huwa wkoll mira.
F'dan iż-żmien, hemm informazzjoni mħallta dwar il-backups ta 'Time Machine li huma kriptati minn KeRanger, imma jekk il-folder tal-Volumi huwa mmirat, ma nara ebda raġuni għaliex drive Time Machine ma tkunx encrypted. Ir-raden tiegħi huwa li KeRanger hija tali biċċa ġdida ta 'ransomware li r-rapporti mħallta dwar Time Machine huma sempliċement bug fil-kodiċi ransomware; xi kultant taħdem, u kultant ma tagħmilx hekk.
Apple Jirreaġixxi
Palo Alto Networks irrapporta lil KeRanger ransomware kemm lil Apple kif ukoll lil Transmission. Kemm irreaġixxew bil-ħeffa; Apple irrevokat iċ-ċertifikat tal-iżviluppatur tal-Mac app użat mill-app, u b'hekk il-Gatekeeper jista 'jwaqqaf installazzjonijiet ulterjuri tal-verżjoni attwali ta' KeRanger. Apple wkoll aġġornat il-firem ta 'XProject, li jippermettu li s-sistema ta' prevenzjoni tal-malware OS X tirrikonoxxi lil KeRanger u tevita l-installazzjoni, anke jekk GateKeeper hija diżattivata, jew hija kkonfigurata għal setting ta 'sigurtà baxxa.
Trażmissjoni tneħħiet Trażmissjoni 2.90 mill-websajt tagħhom u malajr ħarġet verżjoni nadifa tat-Trażmissjoni, b'numru ta 'verżjoni ta' 2.92. Nistgħu nassumu wkoll li qegħdin inħarsu lejn kif il-websajt tagħhom ġie kompromess, u tieħu miżuri biex ma tħallix jerġa 'jseħħ.
Kif tneħħi KeRanger
Ftakar, it-tniżżil u l-installazzjoni tal-verżjoni infettata tal-Applikazzjoni tat-Trażmissjoni attwalment hija l-uniku mod biex jakkwista KeRanger. Jekk ma tużax Trażmissjoni, attwalment m'għandekx għalfejn tinkwieta dwar KeRanger.
Sakemm KeRanger ma jkunx encrypted il-fajls tal-Mac tiegħek s'issa, ikollok ħin biex tneħħi l-app u tevita li l-kriptaġġ iseħħ. Jekk il-fajls tal-Mac tiegħek diġà huma encrypted, m'hemmx ħafna x'jistgħu nagħmlu minbarra t-tama li l-backups tiegħek ma ġewx encrypted ukoll. Dan jindika raġuni tajba ħafna biex ikollok drive backup li mhux dejjem ikun konness mal-Mac tiegħek. Bħala eżempju, nuża Carbon Copy Cloner biex tagħmel klonu ta 'kull ġimgħa tad-data ta' Mac tiegħi . Id-djar tas-sewqan li l-klonu mhux immuntat fuq Mac tiegħi sakemm ikun meħtieġ għall-proċess tal-klonazzjoni.
Jekk kelli nidħlu f'sitwazzjoni ta 'trasmessjoni, nista' rkuprajt billi nerġa 'lura mill-klonu ta' kull ġimgħa. L-unika piena għall-użu tal-klonu ta 'kull ġimgħa hija ta' fajls li jistgħu jkunu sa ġimgħa skaduta, iżda dan huwa ħafna aħjar milli jħallas xi kreta cretin nefarious fidwa.
Jekk issib ruħek fil-qagħda sfortunata ta 'KeRanger li diġà ħarġet in-nassa tiegħu, ma nafx mod ieħor għajr milli nħallas id-djun jew naqla mill-ġdid l-OS X u nibda b'installazzjoni nadifa .
Neħħi t-Trażmissjoni
Fil-Finder , navża / Applikazzjonijiet.
Sib l-Applikazzjoni tat-Trażmissjoni, u mbagħad ikklikkja fuq il-buttuna ta 'l-ikona.
Mill-menu pop-up, agħżel Show Contents tal-Pakkett.
Fit-tieqa tal-Finder li tiftaħ, navża / Werrej / Riżorsi /.
Fittex fajl bit-tikketta General.rtf.
Jekk il-fajl General.rtf huwa preżenti, għandek verżjoni infettata tat-Trażmissjoni installata. Jekk l-Applikazzjoni tat-Trażmissjoni tkun qed taħdem, ħalli l-app, arkaha lejn it-Trash, u mbagħad tbattal it-Trash.
Neħħi KeRanger
Tniedi Activity Monitor , li tinsab fi / Applikazzjonijiet / Utilitajiet.
Fl-Activity Monitor, agħżel it-tab CPU.
Fil-qasam tat-tfittxija tal-Activity Monitor, idħol dan li ġej:
kernel_serviceu mbagħad agħfas lura.
Jekk is-servizz jeżisti, ikun elenkat fit-tieqa tal-Activity Monitor.
Jekk tkun preżenti, ikklikkja darbtejn fuq l-isem tal-proċess fl-Activity Monitor.
Fit-tieqa li tiftaħ, ikklikkja l-buttuna Open Files u Ports.
Agħmel nota tal-kenyel_service pathname; x'aktarx se tkun xi ħaġa bħal:
/ utenti / homefoldername / Librerija / kernel_serviceAgħżel il-fajl, u mbagħad ikklikkja fuq il-buttuna Nieqaf.
Irrepeti dak ta 'hawn fuq għall- kernel_time u kernel_complete ismijiet tas-servizz.
Għalkemm tieqaf is-servizzi fi ħdan Activity Monitor, għandek bżonn ukoll li tħassar il-fajls mill-Mac tiegħek. Biex tagħmel dan, uża l-pathnames tal-fajl li għamilt in-nota biex tinnaviga għall-kernel_service, kernel_time u kernel_complete files. (Nota: Inti tista 'ma jkollokx dawn il-fajls kollha preżenti fuq Mac tiegħek).
Peress li l-fajls li għandek bżonn tħassar jinsabu fil-folder tal-Librerija tad-dar tiegħek, ikollok bżonn tagħmel dan il-folder speċjali viżibbli. Tista 'ssib l-istruzzjonijiet dwar kif tagħmel dan fl- OS X Hiding Your Library Folder artikolu.
Ladarba jkollok aċċess għall-folder tal-Librerija, ħassar il-fajls imsemmija hawn fuq billi arrastahom lejn it-Trash, imbagħad ikklikkja fuq il-buttuna tal-iskrin u tagħżel Trash vojta.