Xarxes Palo Alto descobreix l'orientació de Ransomware per a Mac
El 4 de març de 2016, Palo Alto Networks, una coneguda firma de seguretat, va publicar el descobriment de KeRanger ransomware que va infectar a Transmission, el popular client de Mac BitTorrent. El malware real es va trobar dins de l'instal·lador de Transmission versió 2.90.
El lloc web de Transmission ràpidament va derrocar l'instal·lador infectat i incita a qualsevol que utilitza Transmission 2.90 per actualitzar a la versió 2.92, que ha estat verificat per Transmission per estar lliure de KeRanger.
Transmission no ha discutit sobre com es va poder allotjar l'instal·lador infectat a la seva pàgina web, ni tampoc Palo Alto Networks ha pogut determinar com s'ha compromès el lloc de Transmission.
KeRanger Ransomware
El KeRanger ransomware funciona com la majoria de ransomware ho fa, encriptant fitxers a la vostra Mac i, a continuació, demana el pagament; en aquest cas, en forma de bitcoin (actualment valorat al voltant de 400 dòlars) per proporcionar-vos la clau de xifratge per recuperar els vostres fitxers.
KeRanger ransomware està instal·lat per l'instal·lador de Transmissió compromès. L'instal·lador fa ús d'un certificat de desenvolupador d'aplicacions Mac vàlid, que permet instal·lar el ransomware per volar la tecnologia Gatekeeper de SO X , que impedeix la instal·lació de programari maliciós a la Mac.
Una vegada instal·lat, KeRanger configura la comunicació amb un servidor remot a la xarxa Tor. Després es dorm durant tres dies. Quan es desperta, KeRanger rep la clau de xifrat del servidor remot i procedeix a xifrar fitxers a la Mac infectada.
Els fitxers codificats inclouen els que apareixen a la carpeta / Usuaris, la qual cosa fa que la majoria dels fitxers d'usuari de la Mac infectada estiguin encriptats i no puguin ser utilitzats. A més, Palo Alto Networks informa que la carpeta / Volumes, que conté el punt de muntatge de tots els dispositius d'emmagatzematge adjunt, tant locals com a la seva xarxa, també és un objectiu.
En aquest moment, hi ha informació mixta sobre les còpies de seguretat de Time Machine encriptades per KeRanger, però si la carpeta / volums està orientada, no veig cap raó per la qual una unitat de màquina del Temps no estaria xifrada. La meva idea és que KeRanger és una nova peça de ransomware que els informes mixtos sobre Time Machine són simplement un error en el codi ransomware; De vegades funciona, i de vegades no ho fa.
Apple reacciona
Palo Alto Networks va informar el KeRanger ransomware tant a Apple com a la transmissió. Ambdós van reaccionar ràpidament; Apple va revocar el certificat de desenvolupador de l'aplicació de Mac utilitzat per l'aplicació, permetent a Gatekeeper aturar noves instal·lacions de la versió actual de KeRanger. Apple també va actualitzar les signatures XProject, permetent al sistema de prevenció de malware OS X reconèixer KeRanger i evitar la instal·lació, fins i tot si GateKeeper està deshabilitat o està configurat per a una configuració de baixa seguretat.
Transmission va treure la transmissió 2.90 de la seva pàgina web i va tornar a emetre ràpidament una versió neta de Transmission, amb un número de versió de 2.92. També podem suposar que estan veient com es compromet el seu lloc web i que prenen mesures per evitar que torni a passar.
Com treure KeRanger
Recordeu, descarregar i instal·lar la versió infectada de l'aplicació Transmission és actualment l'única forma d'adquirir KeRanger. Si no utilitza Transmission, actualment no necessita preocupar-se per KeRanger.
Mentre KeRanger encara no hagi xifrat els fitxers del vostre Mac, teniu temps per eliminar l'aplicació i evitar que es produeixi el xifratge. Si els fitxers de la vostra Mac ja estan codificats, no hi ha molt que podeu fer, tret d'esperar que les vostres còpies de seguretat no s'hagin encriptado també. Això indica una bona raó per tenir una unitat de còpia de seguretat que no sempre està connectada al vostre Mac. Com a exemple, utilitzo Carbon Copy Cloner per fer un clon setmanal de les dades de la meva Mac . L'habitatge del disc que el clon no està muntat a la meva Mac fins que es necessita per al procés de clonació.
Si hagués tingut una situació de ransomware, podria haver-se recuperat recuperant el clon setmanal. L'única multa per utilitzar el clon setmanal és tenir fitxers que poden estar fins a una setmana de desacord, però això és molt millor que pagar un crèdit estrany.
Si et trobes en la desafortunada situació de KeRanger que ja ha sorgit la seva trampa, no tinc cap manera d'abandonar el pagament del rescat o de tornar a carregar el sistema operatiu X i començar de nou amb una instal·lació neta .
Suprimeix la transmissió
Al Finder , navegueu fins a / Aplicacions.
Cerqueu l'aplicació Transmissió i feu clic amb el botó dret a la icona.
Al menú emergent, seleccioneu Mostrar contingut del paquet.
A la finestra del Finder que s'obre, navegueu a / Contingut / Recursos /.
Cerqueu un fitxer anomenat General.rtf.
Si el fitxer General.rtf està present, teniu instal·lada una versió infectada de Transmission. Si l'aplicació Transmission s'està executant, sortiu de l'aplicació, arrossegueu-la a la paperera i, a continuació, buidi la paperera.
Elimina KeRanger
Llançament Activity Monitor , situat a / Applications / Utilities.
A Activity Monitor, seleccioneu la fitxa CPU.
Al camp de cerca del Monitor d'activitat, introduïu el següent:
kernel_servicei premeu Retorn.
Si el servei existeix, apareixerà a la finestra de l'Activity Monitor.
Si està present, feu doble clic al nom del procés a Activity Monitor.
A la finestra que s'obre, feu clic al botó Obre fitxers i ports.
Feu una nota de la ruta d'accés kernel_service; és probable que sigui alguna cosa així:
/ usuaris / nom de la pàgina d'inici / biblioteca / kernel_serviceSeleccioneu el fitxer i feu clic al botó Vés.
Repetiu l'anterior per als noms del servei kernel_time i kernel_complete .
Encara que deixeu de fumar els serveis de Activity Monitor, també heu d'eliminar els fitxers de la vostra Mac. Per fer-ho, utilitzeu els noms de la ruta d'accés que heu tingut en compte per navegar al kernel_service, kernel_time i kernel_complet dels fitxers. (Nota: És possible que no tingui tots aquests fitxers presents a la vostra Mac).
Atès que els fitxers que heu d'eliminar estan ubicats a la carpeta Biblioteca de la vostra carpeta d'inici, haureu de fer visible aquesta carpeta especial. Podeu trobar instruccions sobre com fer-ho a l'article OS de la carpeta de la biblioteca de l' OS X.
Un cop hagueu accedit a la carpeta Biblioteca, suprimiu els fitxers abans esmentats arrossegant-los a la paperera, feu clic amb el botó secundari a la icona de la paperera i seleccioneu Buida la paperera.