KeRanger: Den første Mac Ransomware i det vilde opdaget

Palo Alto Networks opdager Ransomware Targeting Macs

Den 4. marts 2016 offentliggjorde Palo Alto Networks, et velkendt sikkerhedsfirma, sin opdagelse af KeRanger ransomware infecting Transmission, den populære Mac BitTorrent-klient. Den egentlige malware blev fundet i installationsprogrammet til Transmission version 2.90.

Transmissionswebstedet tog hurtigt den smittede installatør ned og opfordrer indtrængende nogen, der bruger Transmission 2.90 til at opdatere til version 2.92, som er blevet verificeret af Transmission for at være fri for KeRanger.

Transmission har ikke diskuteret, hvordan den inficerede installatør kunne hostes på deres hjemmeside, og Palo Alto Networks har heller ikke været i stand til at bestemme, hvordan transmissionsstedet blev kompromitteret.

KeRanger Ransomware

KeRanger ransomware fungerer som de fleste ransomware gør ved at kryptere filer på din Mac og derefter kræve betaling; i dette tilfælde i form af en bitcoin (i øjeblikket værdi omkring $ 400) for at give dig krypteringsnøglen for at gendanne dine filer.

KeRanger ransomware er installeret af det kompromitterede transmissionsinstallationsprogram. Installatøren benytter sig af et gyldigt Mac-appudviklercertifikat, hvilket gør det muligt at installere ransomware til at flyve forbi OS X's Gatekeeper-teknologi , hvilket forhindrer installation af malware på Mac.

Når en gang er installeret, etablerer KeRanger kommunikation med en fjernserver på Tor-netværket. Det går derefter i seng i tre dage. Når det først er opdaget, modtager KeRanger krypteringsnøglen fra den eksterne server og fortsætter med at kryptere filer på den inficerede Mac.

Filerne krypteret omfatter dem i mappen / Brugere, hvilket resulterer i, at de fleste brugerfiler på den inficerede Mac bliver krypterede og ikke anvendelige. Derudover rapporterer Palo Alto Networks, at mappen / volumener, der indeholder monteringspunktet for alle tilknyttede lagerenheder, både lokalt og på dit netværk, også er et mål.

På nuværende tidspunkt er der blandede oplysninger om Time Machine-sikkerhedskopier, der krypteres af KeRanger, men hvis mappen / volumener er målrettet, ser jeg ingen grund til, at en Time Machine-drev ikke ville blive krypteret. Mit gæt er, at KeRanger er et nyt stykke ransomware, at de blandede rapporter om Time Machine er simpelthen en fejl i ransomware-koden; nogle gange virker det, og nogle gange gør det det ikke.

Apple reagerer

Palo Alto Networks rapporterede KeRanger ransomware til både Apple og Transmission. Begge reagerede hurtigt; Apple tilbagekaldte Mac app-udviklercertifikatet, der blev brugt af appen, hvilket gav Gatekeeper mulighed for at stoppe yderligere installationer af den nuværende version af KeRanger. Apple opdaterede også XProject-signaturer, hvilket gør det muligt for OS X-malwareforebyggelsessystemet at genkende KeRanger og forhindre installation, selvom GateKeeper er deaktiveret eller er konfigureret til en lav sikkerhedsindstilling.

Transmission fjernet transmission 2.90 fra deres hjemmeside og hurtigt genudgivet en ren version af transmission med et versionsnummer på 2,92. Vi kan også antage, at de ser på, hvordan deres hjemmeside blev kompromitteret, og at træffe foranstaltninger for at forhindre, at det sker igen.

Sådan fjerner du KeRanger

Husk, at downloading og installation af den inficerede version af Transmission-appen er den eneste måde at erhverve KeRanger på. Hvis du ikke bruger Transmission, behøver du i øjeblikket ikke at bekymre dig om KeRanger.

Så længe KeRanger ikke har krypteret dine Macs filer endnu, har du tid til at fjerne appen og forhindre, at krypteringen opstår. Hvis din Macs filer allerede er krypterede, er der ikke meget du kan gøre, undtagen håber, at dine sikkerhedskopier ikke er blevet krypteret. Dette påpeger en meget god grund til at have et backup-drev, som ikke altid er forbundet til din Mac. Eksempelvis bruger jeg Carbon Copy Cloner til at lave en ugentlig klon af min Macs data . Drivhuset, som klonen ikke er monteret på min Mac, før det er nødvendigt for kloningsprocessen.

Hvis jeg havde kørt ind i en ransomware situation, kunne jeg have genoprettet ved at genoprette fra den ugentlige klon. Den eneste straf for at bruge den ugentlige klon har filer, der kan være op til en uge forældet, men det er meget bedre end at betale nogle skræmmende cretin et løsesum.

Hvis du befinder dig i den uheldige situation, hvor KeRanger allerede har sprunget sin fælde, ved jeg slet ikke andet end at betale løsepenge eller genoplade OS X og starte med en ren installation .

Fjern transmission

I Finder navigerer du til / Programmer.

Find Transmission-appen, og højreklik derefter på ikonet.

Fra pop op-menuen skal du vælge Vis pakkeindhold.

I Finder-vinduet, der åbnes, skal du navigere til / Indhold / Ressourcer /.

Se efter en fil, der er mærket General.rtf.

Hvis filen General.rtf er til stede, har du en inficeret version af transmissionen installeret. Hvis transmissionsappen kører, skal du afslutte appen, trække den til papirkurven og tømme papirkurven.

Fjern KeRanger

Start Aktivitetsovervågning , placeret på / Programmer / Hjælpeprogrammer.

I aktivitetsovervågning skal du vælge fanen CPU.

Indtast følgende i Aktivitetsmonitorens søgefelt:

kernel_service

og tryk derefter på retur.

Hvis tjenesten findes, vil den blive vist i aktivitetsmonitorens vindue.

Hvis det er til stede, skal du dobbeltklikke på procesnavnet i Activity Monitor.

Klik i vinduet, der åbnes, på knappen Åbn filer og porte.

Noter kernel_service stienavnet; det vil sandsynligvis være noget som:

/ brugere / homefoldername / Bibliotek / kernel_service

Vælg filen, og klik derefter på knappen Afslut.

Gentag ovenstående for kernel_time og kernel_complete servicenavne.

Selvom du afslutter tjenesterne under Activity Monitor, skal du også slette filerne fra din Mac. For at gøre det skal du bruge de filspor, du har noteret, til at navigere til kernel_service, kernel_time og kernel_complete filer. (Bemærk: Du må muligvis ikke have alle disse filer til stede på din Mac.)

Da de filer, du skal slette, er placeret i mappen Biblioteks mappe i din hjemmemappe, skal du gøre denne særlige mappe synlig. Du kan finde instruktioner til, hvordan du gør dette i OS X, skjuler din biblioteksmappeartikel .

Når du har adgang til bibliotekets mappe, skal du slette ovennævnte filer ved at trække dem til papirkurven og derefter højreklikke på papirkurvikonet og vælge Tøm papirkurv.