Den 4. mars 2016 publiserte Palo Alto Networks, et velkjent sikkerhetsfirma, sin oppdagelse av KeRanger ransomware infecting Transmission, den populære Mac BitTorrent-klienten. Den faktiske skadelig programvare ble funnet i installasjonsprogrammet for Transmisjon versjon 2.90.
Transmissionswebsiden tok raskt ned den infiserte installatøren og oppfordrer alle som bruker Overføring 2,90 til å oppdatere til versjon 2.92, som er verifisert av Transmission for å være fri for KeRanger.
Transmisjonen har ikke diskutert hvordan den infiserte installatøren kunne hostes på deres nettside, og Palo Alto Networks har heller ikke kunnet bestemme hvordan Transmisjonssiden ble kompromittert.
KeRanger Ransomware
KeRanger ransomware fungerer som de fleste ransomware gjør, ved å kryptere filer på Mac, og deretter kreve betaling; i dette tilfellet, i form av bitcoin (for tiden verdsatt rundt $ 400) for å gi deg krypteringsnøkkelen for å gjenopprette filene dine.
KeRanger ransomware er installert av det kompromitterte Transmissions installasjonsprogrammet. Installatøren bruker et gyldig Mac app utvikler sertifikat, slik at installasjonen av ransomware kan fly forbi OS X 's Gatekeeper teknologi, som forhindrer installasjon av skadelig programvare på Mac.
Når en gang er installert, setter KeRanger opp kommunikasjon med en ekstern server på Tor-nettverket. Det går deretter å sove i tre dager. Når det oppstår, mottar KeRanger krypteringsnøkkelen fra den eksterne serveren, og fortsetter å kryptere filer på den infiserte Mac.
Filene kryptert inkluderer de i mappen / Brukere, som resulterer i at de fleste brukerfiler på den infiserte Macen blir krypterte og ikke brukbare. I tillegg rapporterer Palo Alto Networks at mappen / Volum, som inneholder monteringspunktet for alle tilknyttede lagringsenheter, både lokalt og på nettverket, er et mål.
På denne tiden er det blandet informasjon om Time Machine-sikkerhetskopier som krypteres av KeRanger, men hvis mappen / volumer er målrettet, ser jeg ingen grunn til at en Time Machine-stasjon ikke ville bli kryptert. Mitt gjetning er at KeRanger er et nytt stykke ransomware at de blandede rapportene om Time Machine er rett og slett en feil i ransomware-koden; Noen ganger virker det, og noen ganger gjør det ikke.
Apple reagerer
Palo Alto Networks rapporterte KeRanger ransomware til både Apple og Transmission. Begge reagerte raskt; Apple tilbakekalte Mac-app utvikler sertifikatet som brukes av appen, og dermed tillater Gatekeeper å stoppe videre installasjoner av den nåværende versjonen av KeRanger. Apple oppdaterte også XProject-signaturer, slik at OS X-programvare for skadelig programvare kan gjenkjenne KeRanger og forhindre installasjon, selv om GateKeeper er deaktivert, eller er konfigurert for lav sikkerhetsinnstilling.
Transmisjonen fjernet Transmisjon 2,90 fra deres nettside og reiterte raskt en ren versjon av Transmisjon, med et versjonsnummer på 2,92. Vi kan også anta at de ser på hvordan nettsiden deres ble kompromittert, og å ta tiltak for å forhindre at det skjer igjen.
Slik fjerner du KeRanger
Husk at nedlasting og installering av den infiserte versjonen av Transmisjon-appen for tiden er den eneste måten å skaffe KeRanger på. Hvis du ikke bruker Transmission, trenger du for øyeblikket ikke å bekymre deg for KeRanger.
Så lenge KeRanger ikke har kryptert Mac-filene dine ennå, har du tid til å fjerne appen og forhindre kryptering fra å forekomme. Hvis Mac-ene er allerede kryptert, er det ikke mye du kan gjøre, bortsett fra at håp om at sikkerhetskopiene dine ikke har blitt kryptert. Dette peker på en veldig god grunn til å ha en backup-stasjon som ikke alltid er koblet til Mac-en. Som et eksempel bruker jeg Carbon Copy Cloner til å lage en ukentlig kloning av Mac-dataene mine. Drivhuset som klonen ikke er montert på min Mac, før det trengs for kloningsprosessen.
Hvis jeg hadde gått inn i en ransomware-situasjon, kunne jeg ha gjenopprettet ved å gjenopprette fra den ukentlige klonen. Den eneste straffen for bruk av den ukentlige klonen er å ha filer som kan være opptil en uke utdatert, men det er mye bedre enn å betale noen skamløs cretin et løsepenger.
Hvis du befinner deg i den uheldige situasjonen at KeRanger allerede har spratt sin felle, vet jeg ikke om det er noe annet enn å betale løsepenge eller lade OS X på nytt og starte med en ren installasjon.
Fjern overføring
I Finder navigerer du til / Programmer.
Finn Transmisjon-appen, og høyreklikk deretter ikonet.
Fra popup-menyen, velg Vis pakkeinnhold.
I Finder-vinduet som åpnes, naviger til / Innhold / Ressurser /.
Se etter en fil som er merket General.rtf.
Hvis filen General.rtf er tilstede, har du en infisert versjon av Transmisjon installert. Hvis overføringsappen kjører, avslutter du appen, drar den til papirkurven, og tømmes deretter papirkurven.
Fjern KeRanger
Start Aktivitetsovervåkning, plassert på / Programmer / Verktøy.
I CPU-kategorien velger du CPU-kategorien.
I aktivitetsmonitorens søkefelt, skriv inn følgende:
kernel_service
og trykk deretter på retur.
Hvis tjenesten eksisterer, vil den bli oppført i Aktivitetsmonitorens vindu.
Hvis tilstede, dobbeltklikk prosessnavnet i Activity Monitor.
I vinduet som åpnes, klikk på Åpne filer og porter.
Legg merke til kernel_service-banenavnet; det vil sannsynligvis være noe som:
/ Brukere / homefoldername / Library / kernel_service
Velg filen, og klikk deretter Avslutt-knappen.
Gjenta det ovennevnte for kernel_time og kernel_complete servicenavn.
Selv om du sluttet av tjenestene i Activity Monitor, må du også slette filene fra din Mac. For å gjøre det, bruk filbanenavnene du gjorde oppmerksom på for å navigere til kernel_service, kernel_time og kernel_complete filer. (Merk: Du kan ikke ha alle disse filene på din Mac.)
Siden filene du trenger å slette er plassert i hjemmemappen din Bibliotek mappe, må du gjøre denne spesielle mappen synlig. Du kan finne instruksjoner for hvordan du gjør dette i OS X Skjuler bibliotekets mappe artikkel.
Når du har tilgang til bibliotekmappen, slett de ovennevnte filene ved å dra dem til papirkurven, høyreklikk deretter papirkurvikonet og velg Tom papirkurv.
