พาโลอัลโตเน็ตเวิร์คเผยโฉมเครื่องแมคแคร์ Ransomware
เมื่อวันที่ 4 มีนาคม พ.ศ. 2559 บริษัท พาโนอัลโตเน็ตเวิร์กซึ่งเป็น บริษัท รักษาความปลอดภัยที่มีชื่อเสียงได้โพสต์รายงานการค้นพบของ KeRanger ransomware ซึ่งติดตั้ง Transmission ซึ่งเป็นไคลเอนต์ Mac BitTorrent ที่เป็นที่นิยม พบมัลแวร์ที่แท้จริงภายในตัวติดตั้งสำหรับ Transmission version 2.90
เว็บไซต์ Transmission ได้ดำเนินการติดตั้งโปรแกรมที่ติดเชื้ออย่างรวดเร็วและกระตุ้นให้ทุกคนใช้ Transmission 2.90 เพื่ออัปเดตเป็นเวอร์ชัน 2.92 ซึ่งได้รับการยืนยันโดย Transmission ให้เป็นอิสระจาก KeRanger
การส่งผ่านยังไม่ได้กล่าวถึงวิธีที่ติดตั้งไวรัสสามารถที่จะเป็นเจ้าภาพในเว็บไซต์ของพวกเขาและไม่ได้พาโลอัลโตเน็ตเวิร์กส์สามารถระบุได้ว่าไซต์ Transmission ถูกบุกรุกอย่างไร
KeRanger Ransomware
Keans ransomware ทำงานเป็น ransomware ส่วนใหญ่ไม่โดยการเข้ารหัสไฟล์บน Mac ของคุณแล้วเรียกร้องการชำระเงิน; ในกรณีนี้ในรูปของบิตโคอิ้ง (ปัจจุบันมีมูลค่าประมาณ 400 เหรียญ) เพื่อให้คุณมีคีย์การเข้ารหัสลับเพื่อกู้คืนไฟล์ของคุณ
ransomware KeRanger ถูกติดตั้งโดยตัวติดตั้ง Transmission ที่ถูกบุกรุก โปรแกรมติดตั้งใช้ใบรับรองของนักพัฒนาแอปพลิเคชัน Mac ที่ถูกต้องทำให้สามารถติดตั้ง ransomware เพื่อ ใช้เทคโนโลยี Gatekeeper ของ OS X ซึ่งช่วยป้องกันการติดตั้งมัลแวร์ในเครื่อง Mac
เมื่อติดตั้งแล้ว KeRanger จะตั้งค่าการสื่อสารกับเซิร์ฟเวอร์ระยะไกลบนเครือข่าย Tor จากนั้นไปนอนเป็นเวลาสามวัน เมื่อตื่นขึ้นมา KeRanger จะได้รับคีย์การเข้ารหัสจากเซิร์ฟเวอร์ระยะไกลและ ดำเนินการเข้ารหัสไฟล์ ใน Mac ที่ติดไวรัส
ไฟล์ที่เข้ารหัสลับจะรวมอยู่ในโฟลเดอร์ / Users ซึ่งจะส่งผลให้ไฟล์ผู้ใช้ส่วนใหญ่ในเครื่อง Mac ที่ติดเชื้อกลายเป็นเข้ารหัสและไม่สามารถใช้งานได้ นอกจากนี้พาโลอัลโตเน็ตเวิร์ครายงานว่าโฟลเดอร์ / Volumes ซึ่งมีจุดเมานท์สำหรับอุปกรณ์จัดเก็บข้อมูลที่แนบมาทั้งหมดทั้งในเครื่องและในเครือข่ายของคุณเป็นเป้าหมายด้วย
ขณะนี้มีข้อมูลผสมเกี่ยว กับการสำรองข้อมูล Time Machine ที่เข้ารหัสโดย KeRanger แต่ถ้าโฟลเดอร์ / Volumes ถูกกำหนดเป้าหมายฉันไม่เห็นเหตุผลใดที่เครื่อง Time Machine จะไม่ได้รับการเข้ารหัส ฉันเดาว่า KeRanger เป็นชิ้นใหม่ของ ransomware ที่รายงานผสมเกี่ยวกับ Time Machine เป็นเพียงข้อผิดพลาดในรหัส ransomware; บางครั้งก็ทำงานและบางครั้งก็ไม่ได้
แอปเปิ้ลตอบสนอง
พาโลอัลโตเน็ตเวิร์คสได้รายงานการเรียกค่าไถ่ KeRanger จากทั้ง Apple และ Transmission ทั้งสองปฏิกิริยาได้อย่างรวดเร็ว; แอปเปิ้ลเพิกถอนใบรับรองของนักพัฒนาแอปพลิเคชัน Mac ที่ใช้โดยแอพพลิเคชั่นเพื่อให้ Gatekeeper สามารถหยุดการติดตั้ง KeRanger เวอร์ชั่นปัจจุบันได้ แอ็ปเปิ้ลยังได้อัพเดตลายเซ็น XProject ซึ่งช่วยให้ระบบป้องกันมัลแวร์ OS X สามารถจำแนก KeRanger และป้องกันการติดตั้งได้แม้ว่า GateKeeper จะถูกปิดใช้งานหรือมีการกำหนดค่าสำหรับการตั้งค่าความปลอดภัยต่ำก็ตาม
Transmission ได้นำ Transmission 2.90 ออกจากเว็บไซต์ของพวกเขาและได้ออกเวอร์ชั่นใหม่ทั้งหมดของ Transmission ซึ่งมีหมายเลขเวอร์ชัน 2.92 เรายังสามารถสมมติว่าพวกเขากำลังมองหาวิธีที่เว็บไซต์ถูกบุกรุกและใช้มาตรการเพื่อป้องกันไม่ให้เกิดขึ้นอีก
วิธีการลบ KeRanger
โปรดจำไว้ว่าการดาวน์โหลดและติดตั้งแอป Transmission เวอร์ชันที่ติดไวรัสเป็นวิธีเดียวที่จะได้รับ KeRanger ถ้าคุณไม่ได้ใช้ Transmission คุณไม่จำเป็นต้องกังวลกับ KeRanger เลย
ตราบเท่าที่ KeRanger ยังไม่ได้เข้ารหัสไฟล์ Mac ของคุณ แต่คุณมีเวลาที่จะลบแอปและป้องกันไม่ให้เกิดการเข้ารหัส ถ้าไฟล์ Mac ของคุณได้รับการเข้ารหัสแล้วคุณจะไม่สามารถทำอะไรได้มากนักยกเว้นหวังว่าการสำรองข้อมูลของคุณจะยังไม่ได้รับการเข้ารหัส สิ่งนี้ชี้ให้เห็นถึงเหตุผลที่ดีในการมีไดรฟ์สำรองที่ไม่ได้เชื่อมต่ออยู่กับ Mac ของคุณเสมอไป ตัวอย่างเช่น ฉันใช้ Carbon Copy Cloner เพื่อสร้างโคลนรายสัปดาห์ของข้อมูล Mac ของฉัน ที่อยู่ของไดรฟ์ที่โคลนไม่ได้ถูกติดตั้งบน Mac จนกว่าจะมีความจำเป็นสำหรับกระบวนการโคลนนิ่ง
ถ้าฉันได้เข้าสู่สถานการณ์ค่าไถ่ฉันสามารถกู้คืนโดยการกู้คืนจากโคลนรายสัปดาห์ การลงโทษเฉพาะสำหรับการใช้โคลนรายสัปดาห์คือการมีไฟล์ที่อาจถึงหนึ่งสัปดาห์ออกจากวันที่ แต่ที่ดีกว่าการจ่ายเงินบาง cretin สามานย์ค่าไถ่
ถ้าคุณพบว่าตัวเองตกอยู่ในสถานการณ์ที่ไม่เอื้ออำนวยของ KeRanger ที่ได้เปิดโปงกับดักแล้วฉันรู้ว่าไม่มีทางใดนอกจากจ่ายค่าไถ่หรือ โหลด OS X และเริ่มต้นใหม่ด้วยการติดตั้งที่สะอาด
ลบการส่ง
ใน Finder ให้ไปที่ / Applications
ค้นหาแอปพลิเคชัน Transmission จากนั้นคลิกขวาที่ไอคอน
จากเมนูป๊อปอัปให้เลือกแสดงเนื้อหาในแพคเกจ
ในหน้าต่าง Finder ที่เปิดขึ้นให้ไปที่ / Contents / Resources /
มองหาไฟล์ที่มีข้อความว่า General.rtf
ถ้ามีไฟล์ General.rtf อยู่คุณต้องติดตั้ง Transmission version ที่ติดไวรัสอยู่ หากแอปพลิเคชัน Transmission กำลังทำงานให้ออกจากแอปลากไปยังถังขยะแล้วล้างข้อมูลในถังขยะ
ลบ KeRanger
เปิดตัวการตรวจสอบกิจกรรม ซึ่งอยู่ที่ / Applications / Utilities
ใน Activity Monitor ให้เลือกแท็บ CPU
ในฟิลด์ค้นหาของ Activity Monitor ให้ป้อนข้อมูลต่อไปนี้:
kernel_serviceจากนั้นกด return
หากมีบริการอยู่ระบบจะแสดงรายการในหน้าต่าง Activity Monitor
หากมีให้ดับเบิลคลิกที่ชื่อกระบวนการใน Activity Monitor
ในหน้าต่างที่เปิดขึ้นให้คลิกปุ่มเปิดไฟล์และพอร์ต
จดบันทึกชื่อพา ธ ของ kernel_service; มันอาจจะเป็นสิ่งที่ชอบ:
/ ผู้ใช้ / homefoldername / Library / kernel_serviceเลือกไฟล์จากนั้นคลิกปุ่ม Quit
ทำซ้ำตามข้างต้นสำหรับชื่อบริการ kernel_time และ kernel_complete
แม้ว่าคุณจะเลิกใช้บริการภายใน Activity Monitor แต่คุณต้องลบไฟล์ออกจากเครื่อง Mac ด้วย ในการดำเนินการดังกล่าวให้ใช้พา ธ ไฟล์ที่คุณจดไว้เพื่อไปยังไฟล์ kernel_service, kernel_time และ kernel_complete (หมายเหตุ: คุณอาจไม่มีไฟล์ทั้งหมดอยู่ใน Mac)
เนื่องจากไฟล์ที่คุณต้องลบจะอยู่ในโฟลเดอร์ไลบรารีโฟลเดอร์ภายในบ้านคุณจะต้องทำให้โฟลเดอร์พิเศษนี้สามารถมองเห็นได้ คุณสามารถดูคำแนะนำวิธีการทำเช่นนี้ได้ใน OS X คือการซ่อน บทความใน โฟลเดอร์ห้องสมุดของคุณ
เมื่อคุณเข้าถึงโฟลเดอร์ Library แล้วลบไฟล์ที่กล่าวมาข้างต้นโดยลากไปที่ถังขยะจากนั้นคลิกขวาที่ไอคอนถังขยะและเลือก Empty Trash