KeRanger: первый вымогатель для Mac

4 марта 2016 года Palo Alto Networks, известная охранная фирма, опубликовала сообщение о том, что KeRanger вымогал заражение Transmission, популярного клиента Mac BitTorrent для Mac. Фактическое вредоносное ПО было обнаружено в программе установки для Transmission версии 2.90.

Веб-сайт Transmission быстро отключил инфицированный установщик и призывает всех, кто использует Transmission 2.90, обновить его до версии 2.92, которая, как было подтверждено Transmission, не содержит KeRanger.

В Transmission не обсуждалось, каким образом инфицированный установщик мог быть размещен на их веб-сайте, и Palo Alto Networks не смогла определить, каким образом был скомпрометирован сайт Transmission.

KeRanger Ransomware

KeRanger Ransomware работает, как и большинство вымогателей, зашифровывая файлы на вашем Mac, а затем требует оплаты; в этом случае, в форме биткойнов (в настоящее время стоимостью около 400 долларов), чтобы предоставить вам ключ шифрования для восстановления ваших файлов.

Программа-вымогатель KeRanger устанавливается скомпрометированным установщиком Transmission. Установщик использует действительный сертификат разработчика приложений Mac, позволяя установке вымогателей пролететь мимо технологии Gatekeeper OS X, которая предотвращает установку вредоносного ПО на Mac.

После установки KeRanger устанавливает связь с удаленным сервером в сети Tor. Затем он идет спать на три дня. После пробуждения KeRanger получает ключ шифрования с удаленного сервера и продолжает шифрование файлов на зараженном Mac.

Зашифрованные файлы включают те, которые находятся в папке / Users, в результате чего большинство пользовательских файлов на зараженном Mac становятся зашифрованными и недоступными для использования. Кроме того, Palo Alto Networks сообщает, что папка / Volumes, которая содержит точку монтирования для всех подключенных устройств хранения, как локальных, так и в вашей сети, также является целью.

В настоящее время существует неоднозначная информация о том, что резервные копии Time Machine зашифрованы KeRanger, но если папка / Volumes предназначена, я не вижу причин, по которым диск Time Machine не будет зашифрован. Я предполагаю, что KeRanger — это новая часть вымогателей, что смешанные отчеты о Time Machine — просто ошибка в коде вымогателей; иногда это работает, а иногда нет.

Apple реагирует

Palo Alto Networks сообщила о вымогательстве KeRanger как Apple, так и Transmission. Оба отреагировали быстро; Apple аннулировала сертификат разработчика приложений Mac, используемый приложением, что позволило Gatekeeper прекратить дальнейшую установку текущей версии KeRanger. Apple также обновила сигнатуры XProject, позволяя системе предотвращения вредоносных программ OS X распознавать KeRanger и предотвращать установку, даже если GateKeeper отключен или настроен на настройку низкого уровня безопасности.

Transmission удалила Transmission 2.90 с их сайта и быстро переиздала чистую версию Transmission с номером версии 2.92. Мы также можем предположить, что они изучают, как был взломан их веб-сайт, и принимают меры для предотвращения его повторения.

Как удалить KeRanger

Помните, что загрузка и установка зараженной версии приложения Transmission в настоящее время является единственным способом приобретения KeRanger. Если вы не используете Transmission, вам не нужно беспокоиться о KeRanger.

Пока KeRanger еще не зашифровал файлы вашего Mac, у вас есть время, чтобы удалить приложение и предотвратить шифрование. Если файлы вашего Mac уже зашифрованы, вы ничего не можете сделать, кроме как надеяться, что резервные копии также не были зашифрованы. Это указывает на очень вескую причину наличия резервного диска, который не всегда подключен к вашему Mac. В качестве примера я использую Carbon Copy Cloner для еженедельного клонирования данных моего Mac. Корпус диска, который клонирует, не устанавливается на моем Mac, пока он не понадобится для процесса клонирования.

Если бы я столкнулся с ситуацией с вымогателями, я мог бы восстановиться, восстановившись после еженедельного клона. Единственным штрафом за использование еженедельного клона является наличие файлов, которые могут быть устаревшими на срок до одной недели, но это намного лучше, чем выплачивать какой-то гнусный кретин выкуп.

Если вы окажетесь в неудачной ситуации, когда KeRanger уже создал свою ловушку, я не знаю другого выхода, кроме как заплатить выкуп или перезагрузить OS X и начать заново с чистой установки.

Удалить трансмиссию

В Finder перейдите в / Applications.

Найдите приложение «Передача» и щелкните правой кнопкой мыши его значок.

Во всплывающем меню выберите «Показать содержимое пакета».

В открывшемся окне Finder перейдите в / Contents / Resources /.

Найдите файл с именем General.rtf.

Если файл General.rtf присутствует, у вас установлена ​​инфицированная версия Transmission. Если приложение Transmission запущено, выйдите из приложения, перетащите его в корзину, а затем очистите корзину.

Удалить KeRanger

Запустите Activity Monitor, расположенный в папке / Applications / Utilities.

В Activity Monitor выберите вкладку CPU.

В поле поиска Activity Monitor введите следующее:

kernel_service

и затем нажмите возврат.

Если служба существует, она будет указана в окне «Монитор активности».

Если имеется, дважды щелкните имя процесса в Activity Monitor.

В открывшемся окне нажмите кнопку «Открыть файлы и порты».

Запишите имя пути к kernel_service; это, вероятно, будет что-то вроде:

/ Пользователей / homefoldername / Library / kernel_service

Выберите файл и нажмите кнопку «Выйти».

Повторите вышеуказанное для kernel_time а также kernel_complete сервисные имена.

Несмотря на то, что вы выходите из сервисов в Activity Monitor, вам также необходимо удалить файлы с вашего Mac. Для этого используйте имена файлов, которые вы указали, чтобы перейти к файлам kernel_service, kernel_time и kernel_complete. (Примечание: у вас могут не быть все эти файлы на вашем Mac.)

Поскольку файлы, которые вам нужно удалить, находятся в папке Library вашей домашней папки, вам нужно сделать эту специальную папку видимой. Вы можете найти инструкции для того, как сделать это в статье OS X скрывает вашу библиотечную папку.

Получив доступ к папке «Библиотека», удалите вышеупомянутые файлы, перетащив их в корзину, затем щелкните правой кнопкой мыши значок корзины и выберите «Очистить корзину».

Ссылка на основную публикацию