Palo Alto Networks descobre Ransomware targeting Macs
O 4 de marzo de 2016, Palo Alto Networks, unha coñecida firma de seguridade, publicou o descubrimento de KeRanger ransomware que infecta a Transmission, o popular cliente de Mac BitTorrent. O malware real atopouse dentro do instalador para Transmission versión 2.90.
O sitio web de Transmisión derrubou rápidamente o instalador infectado e está a pedir a calquera que use Transmission 2.90 para actualizar a versión 2.92, que foi verificado por Transmission para estar libre de KeRanger.
Transmission non discutiu como o instalador infectado foi capaz de ser aloxado no seu sitio web, nin tampouco puido que Palo Alto Networks determinase como o sitio de Transmission estaba comprometido.
KeRanger Ransomware
O KeRanger ransomware funciona como a maioría dos ransomware fai, cifrando ficheiros no Mac e, a continuación, esixindo o pago; neste caso, en forma de bitcoin (actualmente valorado en torno a $ 400) para fornecerche a clave de cifrado para recuperar os teus ficheiros.
O instalador de transmisión comprometido ten o KeRanger ransomware instalado. O instalador fai uso dun certificado de desenvolvemento de aplicacións de Mac válido, que permite a instalación do ransomware para voar coa tecnoloxía Gatekeeper de OS X , o que impide a instalación de malwares na Mac.
Unha vez instalado, KeRanger configura a comunicación cun servidor remoto na rede Tor. A continuación, vai durmir por tres días. Unha vez que se esperta, KeRanger recibe a clave de cifrado do servidor remoto e procede a cifrar ficheiros no Mac infectado.
Os ficheiros cifrados inclúen aqueles no cartafol / Usuarios, o que causa que a maioría dos ficheiros de usuario no Mac infectado se cifren e non se poidan usar. Ademais, Palo Alto Networks informa que o cartafol / Volumes, que contén o punto de montaxe de todos os dispositivos de almacenamento anexos, tanto locais como na súa rede, tamén é un destino.
Neste momento, hai información mixta sobre as copias de seguridade de Time Machine sendo cifradas por KeRanger, pero se a carpeta / Volumes está dirixida, non vexo ningunha razón pola cal unha unidade de Time Machine non se cifraría. A miña suposición é que KeRanger é unha nova peza de ransomware que os informes mixtos sobre Time Machine son simplemente un erro no código ransomware; ás veces funciona e ás veces non.
Apple reacciona
Palo Alto Networks informou o KeRanger ransomware tanto a Apple como a Transmisión. Ambos reaccionaron rapidamente; Apple revogou o certificado de desarrollador de aplicacións de Mac usado pola aplicación, permitindo así que Gatekeeper para deter novas instalacións da versión actual de KeRanger. Apple tamén actualizou as firmas XProject, permitindo que o sistema de prevención de malware OS X recoñeza KeRanger e impida a instalación, aínda que o GateKeeper estea desactivado ou se configure para unha configuración de pouca seguridade.
A transmisión eliminou a Transmisión 2.90 desde o seu sitio web e reeditou rápidamente unha versión limpa de Transmission, cun número de versión de 2.92. Tamén podemos supoñer que están a ver como se compromete o seu sitio e tomar medidas para impedir que isto ocorra de novo.
Como eliminar KeRanger
Lembre, descargar e instalar a versión infectada da aplicación Transmission é actualmente o único xeito de adquirir KeRanger. Se non usa Transmission, actualmente non se preocupe con KeRanger.
Mentres KeRanger aínda non cifrase os ficheiros de Mac aínda, tes tempo de eliminar a aplicación e evitar que se produza o cifrado. Se os ficheiros do seu Mac xa están cifrados, non hai moito que poderá facer, agás esperar que as súas copias de seguridade non sexan cifradas. Isto indica unha boa razón para ter unha unidade de copia de seguranza que non sempre está conectada a Mac. Como exemplo, uso Carbon Copy Cloner para facer un clon semanal dos datos da miña Mac . A carcasa do disco que o clon non está montado na miña Mac ata que é necesario para o proceso de clonación.
Se eu tivese unha situación de ransomware, podería recuperarse restablecendo o clon semanal. A única pena para usar o clon semanal é ter ficheiros que poden ter ata unha semana sen data, pero iso supón moito mellor que pagar un custo fraudulento.
Se se atopa na situación desafortunada de que KeRanger xurdiu a súa trampa, non sei de ningún xeito outra cousa que pagar o rescate ou volver a cargar o sistema operativo e comezar de novo cunha instalación limpa .
Eliminar a transmisión
No Finder , navega ata / Aplicacións.
Atopar a aplicación Transmission e prema co botón dereito no ícono.
No menú emerxente, seleccione Amosar contido do paquete.
Na ventá do Finder que se abre, navega ata / Contidos / Recursos /.
Busque un ficheiro chamado General.rtf.
Se o ficheiro General.rtf está presente, ten instalada unha versión infectada de Transmission. Se a aplicación Transmission está en execución, saia da aplicación, arrástraa á papeleira e despois baleirar a papeleira.
Eliminar KeRanger
Lanzar Activity Monitor , situado en / Applications / Utilities.
No Activity Monitor, selecciona a páxina da CPU.
No campo de busca do Monitor de actividade, introduza o seguinte:
kernel_servicee despois prema o regreso.
Se o servizo existe, aparecerá na ventá do Monitor de actividade.
Se está presente, fai dobre clic no nome do proceso en Activity Monitor.
Na xanela que se abre, faga clic no botón Abrir ficheiros e portos.
Fai unha nota da ruta de kernel_service; probablemente será algo así como:
/ usuarios / homefoldername / Library / kernel_serviceSeleccione o ficheiro e, a continuación, prema no botón Saír.
Repita o anterior para os nomes de kernel_time e kernel_complete .
Aínda que deixe os servizos dentro do Activity Monitor, tamén necesitará eliminar os ficheiros do seu Mac. Para facelo, use os nomes de rotacións de ficheiros que fixo notar para navegar ata os kernel_service, kernel_time e kernel_complete. (Nota: É posible que non presente todos estes ficheiros no Mac).
Xa que os ficheiros que necesitas eliminar están localizados no cartafol da biblioteca do teu cartafol persoal, debes facer visible este cartafol especial. Podes atopar instrucións sobre como facelo no sistema operativo OS Hide Hiding Your Library .
Unha vez que teña acceso ao cartafol Biblioteca, elimine os ficheiros mencionados arrastrándolos á papeleira, despois premendo co botón dereito no ícone do lixo e seleccionando a papeleira baleira.