Τα δίκτυα Palo Alto ανακοινώνουν τους Mac που στοχεύουν με Ransomware
Στις 4 Μαρτίου 2016, η Palo Alto Networks, μια πολύ γνωστή εταιρεία ασφαλείας, δημοσίευσε την ανακάλυψη του λογισμικού KeRanger λοίμωξης Transmission, του δημοφιλέστερου Mac BitTorrent πελάτη. Το πραγματικό κακόβουλο λογισμικό βρέθηκε στο πρόγραμμα εγκατάστασης για τη μετάδοση έκδοση 2.90.
Ο ιστότοπος μετάδοσης έβγαλε γρήγορα τον μολυσμένο εγκαταστάτη και παροτρύνει οποιονδήποτε χρησιμοποιεί τη μετάδοση 2.90 για ενημέρωση στην έκδοση 2.92, η οποία έχει επαληθευτεί από τη μετάδοση για να είναι δωρεάν από KeRanger.
Η μετάδοση δεν έχει συζητήσει πώς μπορεί να φιλοξενηθεί ο μολυσμένος εγκαταστάτης στον ιστότοπό του, ούτε και η Palo Alto Networks ήταν σε θέση να καθορίσει τον τρόπο με τον οποίο διακυβεύθηκε ο ιστότοπος μετάδοσης.
KeRanger Ransomware
Το ransomware KeRanger λειτουργεί όπως κάνουν τα περισσότερα ransomware, με την κρυπτογράφηση αρχείων στο Mac σας και στη συνέχεια απαιτούν πληρωμή. σε αυτήν την περίπτωση, με τη μορφή ενός bitcoin (που σήμερα εκτιμάται γύρω στα $ 400) για να σας παράσχει το κλειδί κρυπτογράφησης για να ανακτήσετε τα αρχεία σας.
Το ransomware KeRanger εγκαθίσταται από το συμβεβλημένο πρόγραμμα εγκατάστασης μετάδοσης. Το πρόγραμμα εγκατάστασης χρησιμοποιεί ένα έγκυρο πιστοποιητικό προγραμματιστή εφαρμογών για Mac, επιτρέποντας την εγκατάσταση του ransomware για να πετάξει την τεχνολογία Gatekeeper του OS X , η οποία αποτρέπει την εγκατάσταση κακόβουλου λογισμικού στον Mac.
Μόλις εγκατασταθεί, ο KeRanger εγκαθιστά την επικοινωνία με έναν απομακρυσμένο διακομιστή στο δίκτυο Tor. Στη συνέχεια πηγαίνει για ύπνο για τρεις ημέρες. Μόλις ξυπνήσει, το KeRanger λαμβάνει το κλειδί κρυπτογράφησης από τον απομακρυσμένο διακομιστή και συνεχίζει να κρυπτογραφεί αρχεία στο μολυσμένο Mac.
Τα κρυπτογραφημένα αρχεία περιλαμβάνουν αυτά στο φάκελο / Users, με αποτέλεσμα τα περισσότερα αρχεία χρήστη στο μολυσμένο Mac να κρυπτογραφούνται και να μην μπορούν να χρησιμοποιηθούν. Επιπλέον, το Palo Alto Networks αναφέρει ότι ο φάκελος / τόμος, ο οποίος περιέχει το σημείο προσάρτησης για όλες τις συνημμένες συσκευές αποθήκευσης, τόσο τοπικές όσο και στο δίκτυό σας, αποτελεί επίσης στόχο.
Αυτή τη στιγμή, υπάρχουν αναμεμειγμένες πληροφορίες σχετικά με το BackMaps που κρυπτογραφούνται από το KeRanger, αλλά εάν ο φάκελος / τόμοι είναι στοχευμένος, δεν βλέπω κανένα λόγο για τον οποίο μια μονάδα Time Machine δεν θα κρυπτογραφούσε. Η εικασία μου είναι ότι το KeRanger είναι ένα νέο κομμάτι ransomware που οι μικτές αναφορές για το Time Machine είναι απλά ένα σφάλμα στον κώδικα ransomware. μερικές φορές λειτουργεί και μερικές φορές δεν το κάνει.
Η Apple Αντιδρά
Το Palo Alto Networks ανέφερε το ransomware KeRanger τόσο στην Apple όσο και στη μετάδοση. Και οι δύο αντέδρασαν γρήγορα. Η Apple ανακάλεσε το πιστοποιητικό προγραμματιστή εφαρμογών Mac που χρησιμοποιείται από την εφαρμογή, επιτρέποντας έτσι στον Gatekeeper να σταματήσει περαιτέρω εγκαταστάσεις της τρέχουσας έκδοσης του KeRanger. Η Apple ενημέρωσε επίσης τις υπογραφές του XProject, επιτρέποντας στο σύστημα πρόληψης κακόβουλου λογισμικού OS X να αναγνωρίζει το KeRanger και να εμποδίζει την εγκατάσταση, ακόμα κι αν ο GateKeeper είναι απενεργοποιημένος ή έχει ρυθμιστεί για ρύθμιση χαμηλής ασφάλειας.
Η μετάδοση κατάργησε τη μετάδοση 2.90 από την ιστοσελίδα τους και γρήγορα επανέλαβε μια καθαρή έκδοση της μετάδοσης, με αριθμό έκδοσης 2.92. Μπορούμε επίσης να υποθέσουμε ότι εξετάζουν τον τρόπο με τον οποίο διακυβεύεται ο ιστότοπός τους και λαμβάνουν μέτρα για να αποφευχθεί η επανάληψή τους.
Πώς να αφαιρέσετε το KeRanger
Θυμηθείτε, η λήψη και εγκατάσταση της μολυσμένης έκδοσης της εφαρμογής Μεταφορά είναι προς το παρόν ο μόνος τρόπος για να αποκτήσετε το KeRanger. Αν δεν χρησιμοποιείτε τη μετάδοση, δεν χρειάζεται να ανησυχείτε για το KeRanger.
Εφόσον το KeRanger δεν έχει κρυπτογραφήσει ακόμα τα αρχεία Mac σας, έχετε χρόνο να αφαιρέσετε την εφαρμογή και να αποτρέψετε την κρυπτογράφηση. Εάν τα αρχεία Mac σας είναι ήδη κρυπτογραφημένα, δεν υπάρχει τίποτα που μπορείτε να κάνετε εκτός από την ελπίδα ότι τα αντίγραφα ασφαλείας σας δεν έχουν κρυπτογραφηθεί επίσης. Αυτό δείχνει έναν πολύ καλό λόγο για τη δημιουργία μιας μονάδας δημιουργίας αντιγράφων ασφαλείας που δεν είναι πάντοτε συνδεδεμένη με το Mac σας. Για παράδειγμα, χρησιμοποιώ το Carbon Copy Cloner για να κάνω έναν εβδομαδιαίο κλώνο των δεδομένων του Mac μου . Το περίβλημα του δίσκου που κλωνοποιείται δεν είναι τοποθετημένο στο Mac μου μέχρι να χρειαστεί για τη διαδικασία κλωνοποίησης.
Εάν είχα τρέξει σε κατάσταση ransomware, θα μπορούσα να ανακτήσω την αποκατάσταση από τον εβδομαδιαίο κλώνο. Η μόνη ποινή για τη χρήση του εβδομαδιαίου κλώνου είναι η ύπαρξη αρχείων που θα μπορούσαν να είναι μέχρι μία εβδομάδα από την ημερομηνία, αλλά αυτό είναι πολύ καλύτερο από το να πληρώσετε κάποιο κακό κροτίνι ένα λύτρο.
Αν βρεθείτε στην ατυχή κατάληξη του KeRanger που έχει ήδη ξεπεράσει την παγίδα του, δεν ξέρω τίποτε άλλο εκτός από το να πληρώσω τα λύτρα ή να φορτώσω το OS X και να αρχίσω με καθαρή εγκατάσταση .
Αφαιρέστε τη μετάδοση
Στο Finder , μεταβείτε στην επιλογή / Applications.
Εντοπίστε την εφαρμογή μετάδοσης και στη συνέχεια κάντε δεξί κλικ στο εικονίδιο.
Από το αναδυόμενο μενού, επιλέξτε Εμφάνιση περιεχομένων συσκευασίας.
Στο παράθυρο Finder που ανοίγει, μεταβείτε στο / Contents / Resources /.
Αναζητήστε ένα αρχείο με τίτλο General.rtf.
Εάν υπάρχει το αρχείο General.rtf, έχετε εγκατεστημένη μια μολυσμένη έκδοση της μετάδοσης. Εάν εκτελείται η εφαρμογή μετάδοσης, τερματίστε την εφαρμογή, σύρετέ την στον κάδο απορριμμάτων και έπειτα αδειάστε τον κάδο απορριμμάτων.
Αφαιρέστε το KeRanger
Εκκίνηση παρακολούθησης δραστηριότητας , που βρίσκεται στο / Applications / Utilities.
Στην Παρακολούθηση δραστηριότητας, επιλέξτε την καρτέλα CPU.
Στο πεδίο αναζήτησης του Activity Monitor, πληκτρολογήστε τα εξής:
kernel_serviceκαι στη συνέχεια πατήστε επιστροφή.
Εάν υπάρχει η υπηρεσία, θα εμφανίζεται στο παράθυρο της Παρακολούθησης δραστηριότητας.
Εάν υπάρχει, κάντε διπλό κλικ στο όνομα της διαδικασίας στη λειτουργία Παρακολούθηση δραστηριότητας.
Στο παράθυρο που ανοίγει, κάντε κλικ στο κουμπί Άνοιγμα αρχείων και θυρών.
Σημειώστε το όνομα διαδρομής του kernel_service. θα είναι πιθανώς κάτι σαν:
/ users / homefoldername / Βιβλιοθήκη / υπηρεσία kernel_serviceΕπιλέξτε το αρχείο και, στη συνέχεια, κάντε κλικ στο κουμπί Έξοδος.
Επαναλάβετε τα παραπάνω για τα ονόματα υπηρεσιών kernel_time και kernel_complete .
Παρόλο που τερματίζετε τις υπηρεσίες στο Activity Monitor, πρέπει επίσης να διαγράψετε τα αρχεία από το Mac. Για να το κάνετε αυτό, χρησιμοποιήστε τα ονόματα αρχείων που σημειώσατε για να πλοηγηθείτε στο αρχείο kernel_service, kernel_time και kernel_complete. (Σημείωση: Ενδέχεται να μην υπάρχουν όλα αυτά τα αρχεία στο Mac σας.)
Επειδή τα αρχεία που πρέπει να διαγράψετε βρίσκονται στο φάκελο Βιβλιοθήκη του αρχικού σας φακέλου, θα πρέπει να κάνετε ορατό αυτό το ειδικό φάκελο. Μπορείτε να βρείτε οδηγίες για το πώς να το κάνετε αυτό στο άρθρο OS X Hiding Your Library Folder .
Μόλις έχετε πρόσβαση στον φάκελο Βιβλιοθήκη, διαγράψτε τα παραπάνω αρχεία, σύροντάς τα στον κάδο απορριμάτων, κάνοντας δεξί κλικ στο εικονίδιο του κάδου απορριμμάτων και επιλέγοντας Empty Trash (Άδειο κάδο απορριμμάτων).