Ang Palo Alto Networks ay nakakakuha ng Ransomware Targeting Macs
Noong Marso 4, 2016, ang Palo Alto Networks, isang kilalang kompanya ng seguridad, ay nag-post ng pagtuklas sa KeRanger ransomware na nakahahawa sa Transmission, ang sikat na Mac BitTorrent client. Ang aktwal na malware ay natagpuan sa loob ng installer para sa Transmission version 2.90.
Ang website ng Transmission ay mabilis na kinuha ang nahawaang installer at hinihimok ang sinuman gamit ang Transmission 2.90 upang i-update sa bersyon 2.92, na napatunayan na sa Transmission na libre ng KeRanger.
Ang transmisyon ay hindi napag-usapan kung paano na-host ang mga nahawaang installer sa kanilang website, at hindi pa nakilala ng Palo Alto Networks kung paano nakompromiso ang Transmission site.
KeRanger Ransomware
Gumagana ang KeRanger ransomware bilang karamihan sa mga ransomware, sa pamamagitan ng pag-encrypt ng mga file sa iyong Mac, at pagkatapos ay hinihingi ang pagbabayad; sa kasong ito, sa anyo ng isang bitcoin (kasalukuyang pinahahalagahan sa paligid ng $ 400) upang ibigay sa iyo ang key ng pag-encrypt upang mabawi ang iyong mga file.
Ang KeRanger ransomware ay naka-install sa pamamagitan ng nakompromiso installer ng Transmission. Gumagamit ang installer ng isang wastong sertipiko ng developer ng app ng Mac, na nagpapahintulot sa pag-install ng ransomware upang lumipad sa nakalipas na teknolohiya ng Gatekeeper ng OS X , na pumipigil sa pag-install ng malware sa Mac.
Sa sandaling naka-install, ang KeRanger ay nagtatakda ng komunikasyon sa isang malayuang server sa network ng Tor. Pagkatapos ay makatulog ito sa loob ng tatlong araw. Sa sandaling ito ay nakakatakot, tinatanggap ng KeRanger ang key ng pag-encrypt mula sa remote server at nalikom sa pag-encrypt ng mga file sa nahawaang Mac.
Ang mga file na naka-encrypt ay kasama ang mga nasa folder na / Mga User, na nagreresulta sa karamihan ng mga file ng gumagamit sa nahawaan na Mac pagiging naka-encrypt at hindi magagamit. Bilang karagdagan, ang mga ulat ng Palo Alto Network na ang folder ng / Volume, na naglalaman ng mount point para sa lahat ng mga naka-attach na storage device, parehong lokal at sa iyong network, ay isang target din.
Sa oras na ito, mayroong magkakahalo na impormasyon tungkol sa mga pag-back up ng Time Machine na in-encrypt ng KeRanger, ngunit kung ang folder ng / Volume ay naka-target, wala akong nakitang dahilan kung bakit hindi ma-encrypt ang isang drive ng Time Machine. Ang aking hulaan ay ang KeRanger ay isang bagong piraso ng ransomware na ang mga mixed report tungkol sa Time Machine ay isang bug lamang sa code ng ransomware; kung minsan ito ay gumagana, at kung minsan ito ay hindi.
Reaksyon ng Apple
Iniulat ng Palo Alto Networks ang KeRanger ransomware sa parehong Apple at Transmission. Ang parehong reacted matulin; Binawi ng Apple ang sertipiko ng developer ng app ng Mac na ginamit ng app, kaya pinapayagan ang Gatekeeper na huminto sa karagdagang mga pag-install ng kasalukuyang bersyon ng KeRanger. Na-update din ng Apple XProject signatures, na nagpapahintulot sa sistema ng pag-iwas sa OS X upang kilalanin ang KeRanger at maiwasan ang pag-install, kahit na ang GateKeeper ay hindi pinagana, o ay naka-configure para sa isang mababang setting ng seguridad.
Inalis ang Transmission Transmisyon 2.90 mula sa kanilang website at mabilis na muling inilabas ang isang malinis na bersyon ng Transmission, na may bersyon na bilang ng 2.92. Maaari din nating isipin na tinitingnan nila kung paano nakompromiso ang kanilang website, at nagsasagawa ng mga hakbang upang maiwasan ito na mangyari muli.
Paano Alisin ang KeRanger
Tandaan, ang pag-download at pag-install ng mga nahawaang bersyon ng Transmission app ay kasalukuyang ang tanging paraan upang makakuha ng KeRanger. Kung hindi ka gumagamit ng Transmission, sa kasalukuyan ay hindi mo kailangang mag-alala tungkol sa KeRanger.
Hangga't hindi na-encrypt ng KeRanger ang mga file ng iyong Mac, mayroon ka ng oras upang alisin ang app at pigilan ang pag-encrypt nang maganap. Kung na-encrypt na ang mga file ng iyong Mac, hindi gaanong magagawa mo maliban sa pag-asa na hindi naka-encrypt ang iyong pag-backup. Itinuturo nito ang isang napakahusay na dahilan para sa pagkakaroon ng backup na drive na hindi palaging nakakonekta sa iyong Mac. Bilang halimbawa, gumamit ako ng Carbon Copy Cloner upang gumawa ng isang lingguhang kopya ng data ng aking Mac . Ang drive pabahay na clone ay hindi naka-mount sa aking Mac hanggang kinakailangan ito para sa proseso ng pag-clone.
Kung ako ay tumakbo sa isang sitwasyon sa ransomware, maaaring nakuhang muli ako sa pamamagitan ng pagpapanumbalik mula sa lingguhang kopya. Ang tanging parusa para sa paggamit ng lingguhang pag-clone ay ang pagkakaroon ng mga file na maaaring hanggang sa isang linggo sa labas ng petsa, ngunit ito ay mas mahusay kaysa sa pagbabayad ng ilang mga kasuklam-suklam na cretin isang ransom.
Kung nasumpungan mo ang iyong sarili sa kapus-palad na sitwasyon ng KeRanger na may naka-sprung sa bitag nito, alam ko na walang paraan maliban sa pagbabayad ng ransom o pag- load muli ng OS X at magsimula sa isang malinis na pag-install .
Alisin ang Transmission
Sa Finder , mag-navigate sa / Application.
Hanapin ang Transmission app, at pagkatapos ay i-right-click ang icon nito.
Mula sa menu ng pop-up, piliin ang Ipakita ang Mga Nilalaman ng Package.
Sa window ng Finder na bubukas, mag-navigate sa / Mga Nilalaman / Resources /.
Maghanap ng isang file na may label na General.rtf.
Kung ang General.rtf file ay naroroon, mayroon kang isang nahawaang bersyon ng Transmission na naka-install. Kung tumatakbo ang Transmission app, umalis sa app, i-drag ito sa basurahan, at pagkatapos ay i-empty ang basura.
Alisin ang KeRanger
Ilunsad ang Activity Monitor , na matatagpuan sa / Applications / Utilities.
Sa Activity Monitor, piliin ang tab ng CPU.
Sa field ng paghahanap ng Activity Monitor, ipasok ang sumusunod:
kernel_serviceat pagkatapos ay pindutin ang pagbabalik.
Kung umiiral ang serbisyo, ililista ito sa window ng Aktibidad Monitor.
Kung kasalukuyan, i-double-click ang pangalan ng proseso sa Activity Monitor.
Sa window na bubukas, i-click ang pindutan ng Buksan ang Mga File at Port.
Gumawa ng tala ng kernel_service pathname; ito ay malamang na isang bagay tulad ng:
/ Mga user / homefoldername / Library / kernel_servicePiliin ang file, at pagkatapos ay i-click ang button na Quit.
Ulitin ang nasa itaas para sa kernel_time at kernel_complete na mga pangalan ng serbisyo.
Kahit na umalis ka sa mga serbisyo sa loob ng Activity Monitor, kailangan mo ring tanggalin ang mga file mula sa iyong Mac. Upang gawin ito, gamitin ang mga pathname ng file na ginawa mo upang tandaan upang mag-navigate sa kernel_service, kernel_time, at kernel_complete na mga file. (Tandaan: Maaaring hindi ka magkaroon ng lahat ng mga file na ito sa iyong Mac.)
Dahil ang mga file na kailangan mong tanggalin ay matatagpuan sa folder ng Library ng iyong home folder, kakailanganin mong gawing nakikita ang espesyal na folder na ito. Makakahanap ka ng mga tagubilin para sa kung paano gawin ito sa OS X Is Hiding Your Library Folder na artikulo.
Sa sandaling mayroon kang access sa folder ng Library, tanggalin ang mga nabanggit na file sa pamamagitan ng pag-drag sa mga ito sa basurahan, pagkatapos ay i-right click ang icon ng basura, at piliin ang Empty Trash.