פאלו אלטו רשתות מגלה Ransomware מיקוד Macs
ב -4 במארס 2016, פאלו אלטו נטוורקס, חברת אבטחה ידועה, פירסמה את תגליתה של חברת KRanger Ransomware שמדביקה את Transmission, לקוח ה- Bit BitTorrent הפופולרי. התוכנה הזדונית בפועל נמצאה בתוך המתקין עבור גרסה 2.90 של שידור.
אתר ההובלה מיהר להוריד את המתקין הנגוע, והוא קורא לכל מי שמשתמש בתמסורת 2.90 כדי לעדכן לגירסה 2.92, שאומתה על ידי השידור כדי להיות חופשייה מקירנגר.
הילוכים לא דנה כיצד המתקין נגוע היה יכול להיות מתארח באתר האינטרנט שלהם, וגם לא פאלו אלטו נטוורקס היה מסוגל לקבוע כיצד האתר התמסורת נפגעה.
קראנגר רנסוור
את rranomware KeRanger עובד כמו רוב ransomware עושה, על ידי הצפנת קבצים ב- Mac שלך, ולאחר מכן בדרישה תשלום; במקרה זה, בצורה של bitcoin (כרגע מוערך בסביבות 400 $) כדי לספק לך את מפתח ההצפנה לשחזר את הקבצים שלך.
ה- rranomware של KRanger מותקן על-ידי המתקין 'שידור שידור'. המתקין עושה שימוש אישור מפתח MAC יישום חוקי, המאפשר התקנה של ransomware לטוס בעבר OS X של Gatekeeper הטכנולוגיה , אשר מונע התקנה של תוכנות זדוניות על MAC.
לאחר ההתקנה, KeRanger מגדיר תקשורת עם שרת מרוחק ברשת Tor. ואז הוא הולך לישון במשך שלושה ימים. ברגע שהוא מתעורר, KeRanger מקבל את מפתח ההצפנה מהשרת המרוחק וממשיך להצפין קבצים ב- Mac הנגוע.
הקבצים מוצפנים כוללים אלה בתיקייה / משתמשים, אשר התוצאות ברוב קבצי המשתמש ב- Mac נגוע הופכים מוצפנים ולא שמיש. בנוסף, חברת Palo Alto Networks מדווחת כי התיקייה / Volumes, המכילה את נקודת ההרכבה עבור כל התקני האחסון המצורפים, הן ברשת המקומית והן ברשת שלך, היא גם יעד.
בשלב זה, יש מידע מעורב לגבי גיבויים של Time Machine המוצפנים על-ידי KeRanger, אך אם התיקייה / Volumes ממוקדת, אני לא רואה סיבה מדוע כונן Time Machine לא יוצפן. הניחוש שלי הוא ש- KeRanger הוא כלי חדש של Ransomware, שהדיווחים המעורבים על Time Machine הם פשוט באג בקוד ransomware; לפעמים זה עובד, ולפעמים זה לא.
אפל מגיב
פאלו אלטו רשתות דיווחו על קארנגר ransomware הן Apple ו- Transmission. שניהם הגיבו במהירות; Apple ביטלה את אישור מפתח האפליקציות של Mac המשמש את האפליקציה, ובכך אפשרה ל- Gatekeeper להפסיק התקנות נוספות של הגרסה הנוכחית של KeRanger. Apple גם עדכנה חתימות XProject, ומאפשרת למערכת OS X למנוע תוכנות זדוניות לזהות KeRanger ולמנוע התקנה, גם אם GateKeeper מושבת, או מוגדר עבור הגדרה אבטחה נמוכה.
הילוכים הוסרו שידור 2.90 מהאתר שלהם במהירות reissued גרסה נקייה של שידור, עם מספר גרסה של 2.92. אנו יכולים גם להניח שהם בודקים כיצד האתר שלהם נפרץ, וננקטים צעדים כדי למנוע את התרחשותו מחדש.
כיצד להסיר
זכור, הורדה והתקנה של הגירסה הנגועה של האפליקציה 'שידור' היא כעת הדרך היחידה לרכוש את KeRanger. אם אתה לא משתמש בתמסורת, אתה כרגע לא צריך לדאוג KRanger.
כל עוד KeRanger לא מוצפן הקבצים של Mac שלך עדיין, יש לך זמן להסיר את היישום ולמנוע את ההצפנה מן המתרחשים. אם הקבצים של Mac שלך כבר מוצפנים, אין הרבה מה שאתה יכול לעשות חוץ מאשר מקווה הגיבויים שלך לא מוצפן גם כן. זה מצביע על סיבה טובה מאוד שיש כונן גיבוי זה לא תמיד מחובר ל- Mac שלך. כדוגמה, אני משתמש פחמן העתק Cloner לעשות שיבוט שבועי של הנתונים של Mac שלי . כונן הדיור שיבוט זה לא מותקן על MAC שלי עד שזה נחוץ עבור תהליך שיבוט.
אם הייתי נתקל במצב כופר, הייתי יכול להתאושש על ידי שחזור מן לשבט השבועי. העונש היחיד על שימוש בשיבוט השבועי הוא קבצים שיכולים להיות עד שבוע אחד, אבל זה הרבה יותר טוב מאשר לשלם קצת cretin מרושע כופר.
אם אתה מוצא את עצמך במצב מצער של KeRanger לאחר שכבר צץ המלכודת שלה, אני לא יודע שום דרך אחרת מלבד לשלם את כופר או טעינה מחדש של OS X ו מתחיל מחדש עם התקנה נקייה .
הסר שידור
ב- Finder , נווט אל / Applications.
אתר את היישום Transmission ולאחר מכן לחץ לחיצה ימנית על הסמל שלו.
מהתפריט המוקפץ, בחר הצגת תוכן החבילה.
בחלון Finder שנפתח, נווט אל / Content / Resources /.
חפש קובץ בשם General.rtf.
אם הקובץ General.rtf נמצא, מותקן במחשב שלך גרסה נגועה של Transmission. אם האפליקציה 'שידור' פועלת, צא מהאפליקציה, גרור אותה לאשפה ולאחר מכן רוקן את האשפה.
הסר KeRanger
הפעלה פעילות צג , הממוקם / יישומים / כלי עזר.
ב- Monitor Activity, בחר את הכרטיסייה CPU.
בשדה החיפוש של Monitor Activity, הזן את הפרטים הבאים:
kernel_serviceולאחר מכן לחץ על Return.
אם השירות קיים, הוא יופיע בחלון 'צג פעילות'.
אם קיים, לחץ פעמיים על שם התהליך ב- Monitor Monitor.
בחלון שנפתח, לחץ על הלחצן פתח קבצים ויציאות.
רשום לעצמך את שם הנתיב kernel_service; זה יהיה כנראה משהו כמו:
/ users / homefoldername / Library / kernel_serviceבחר את הקובץ ולאחר מכן לחץ על הלחצן 'צא'.
חזור על האמור לעיל עבור השמות kernel_time ו- kernel_complete .
למרות שאתה להפסיק את השירותים בתוך פעילות צג, אתה גם צריך למחוק את הקבצים מהמחשב שלך. לשם כך, השתמש בשמות נתיבי הקבצים שציינת, כדי לנווט אל הקבצים kernel_service, kernel_time ו- kernel_complete. (הערה: ייתכן שאין לך את כל הקבצים האלה ב- Mac שלך.)
מאז הקבצים שאתה צריך למחוק ממוקמים תיקיית ספרייה של תיקיית הבית שלך, תצטרך לעשות את התיקייה המיוחדת הזו גלוי. באפשרותך למצוא הוראות כיצד לעשות זאת ב- OS X מסתיר את תיקיית הספרייה שלך .
ברגע שיש לך גישה לתיקייה Library, מחק את הקבצים הנ"ל על-ידי גרירתם לאשפה, ולאחר מכן לחיצה ימנית על סמל האשפה ובחירה באפשרות רוקן אשפה.