Ang Palo Alto Networks Nakakuha sa Ransomware Targeting Macs
Niadtong Marso 4, 2016, ang Palo Alto Networks, usa ka inila nga kompaniya sa seguridad, mipakita sa pagkadiskobre sa KeRanger ransomware nga makatago sa Transmission, ang popular nga Mac BitTorrent client. Ang aktwal nga malware nakaplagan sulod sa installer alang sa Transmission version 2.90.
Ang Transmission website dali nga mikuha sa nataptan nga installer ug nag-awhag kang bisan kinsa nga gamit ang Transmission 2.90 aron i-update sa bersyon 2.92, nga gipamatud-an sa Transmission nga libre sa KeRanger.
Ang Transmission wala maghisgot kon sa unsa nga paagi nga ang nataptan nga installer mahimo nga ma-host sa ilang website, ni ang Palo Alto Networks nakahimo sa pagtino kung giunsa ang pagkompromiso sa site nga nakompromiso.
KeRanger Ransomware
Ang KeRanger ransomware nagtrabaho sama sa kasagaran sa ransomware, pinaagi sa pag-encrypt sa mga file sa imong Mac, ug dayon pagpangayo sa pagbayad; sa kini nga kaso, sa dagway sa usa ka bitcoin (nga karon gipabilhan nga mga $ 400) aron sa paghatag kanimo sa encryption nga yawe aron makuha ang imong mga file.
Ang KeRanger ransomware gipahimutang pinaagi sa kompromiso nga Transmission installer. Ang installer naggamit sa usa ka balido nga Mac app developer certificate, nga nagtugot sa pag-instalar sa ransomware sa paglupad sa miagi nga OS X's Gatekeeper nga teknolohiya , nga nagpugong sa pag-instalar sa malware sa Mac.
Sa higayon nga ma-instalar, ang KeRanger nagtukod og komunikasyon sa usa ka hilit nga server sa Tor network. Dayon kini matulog sulod sa tulo ka adlaw. Sa higayon nga kini makapukaw, ang KeRanger nakadawat sa encryption nga yawe gikan sa hilit nga server ug nagpadayon sa pag-encrypt sa mga file sa natakdan nga Mac.
Ang mga file nga naka-encrypt naglakip sa mga anaa sa / Users folder, nga nagresulta sa kadaghanan nga mga file sa gumagamit sa nahakot nga Mac nga nahimong naka-encrypt ug dili magamit. Dugang pa, ang Palo Alto Networks nagreport nga ang mga folder sa Volumes, nga naglangkob sa mount point alang sa tanang gilangkuban nga mga storage device, sa lokal ug sa imong network, usa usab ka target.
Niini nga panahon, adunay nagkalainlain nga kasayuran mahitungod sa pag-backup sa Time Machine nga gi-encrypt sa KeRanger, apan kung ang folder sa / Volume gipuntirya, wala'y nakita nga rason nganong ang Time Machine drive dili ma-encrypt. Ang akong huna-huna nga ang KeRanger usa ka bag-o nga piraso sa ransomware nga ang nagkalainlain nga mga taho bahin sa Time Machine usa lamang ka bug sa code sa ransomware; usahay kini molihok, ug usahay dili kini.
Apple Reacts
Ang Palo Alto Networks nagtaho sa KeRanger ransomware sa Apple ug Transmission. Ang duha misanong dayon; Gibawi ni Apple ang Mac app developer certificate nga gigamit sa app, sa ingon nagtugot sa Gatekeeper nga mohunong sa dugang nga mga instalasyon sa kasamtangan nga bersyon sa KeRanger. Ang Apple usab nag-update sa XProject nga pirma, nga nagtugot sa OS X malware prevention nga sistema sa pag-ila sa KeRanger ug sa pagpugong sa pag-instalar, bisan kung GateKeeper ang gibabagan, o gi-configure alang sa dili kaayo seguridad nga setting.
Ang Transmission mikuha sa Transmission 2.90 gikan sa ilang website ug dali nga gibag-o ang usa ka limpyo nga bersyon sa Transmission, nga adunay bersyon nga 2.92. Mahimo usab natong hunahunaon kung giunsa nila pagkompromiso ang ilang website, ug paghimo sa mga lakang aron dili kini mahitabo pag-usab.
Unsaon Pagtangtang sa KeRanger
Hinumdumi, ang pag-download ug pag-instalar sa mga natakdan nga bersyon sa Transmission app sa kasamtangan mao lamang ang paagi sa pagbaton sa KeRanger. Kon dili ka magamit sa Transmission, wala ka na kinahanglana nga mabalaka mahitungod sa KeRanger.
Hangtod nga wala ma-encrypt ang KeRanger ang mga file sa Mac, duna kay panahon sa pagtangtang sa app ug pagpugong sa pag-encrypt nga mahitabo. Kon ang mga file sa imong Mac na-encrypt na, wala'y daghan nga imong mahimo gawas sa paglaum sa imong mga backup nga wala usab ma-encrypt. Kini nagpunting sa usa ka maayo kaayo nga rason sa pagbaton og backup nga dili kanunay nga konektado sa imong Mac. Ingon nga pananglitan, naggamit ako sa Carbon Copy Cloner aron paghimo sa usa ka senemana nga clone sa data sa akong Mac . Ang drive housing nga clone wala maanad sa akong Mac hangtud kini gikinahanglan alang sa proseso sa cloning.
Kon ako nahulog sa sitwasyon sa ransomware, mahimo unta akong makuha pinaagi sa pagbalik gikan sa weekly clone. Ang bugtong silot sa paggamit sa senemana nga clone mao ang adunay mga file nga mahimo nga usa ka semana gikan sa petsa, apan mas maayo kini kay sa pagbayad sa usa ka nefarious cretin nga usa ka ransom.
Kung nahibal-an nimo ang imong kaugalingon sa dili maayo nga sitwasyon sa KeRanger nga nakagawas na sa lit-ag, wala ako'y nahibal-an nga walay lain gawas sa pagbayad sa lukat o pag-reload sa OS X ug pagsugod sa usa ka limpyo nga pag-instalar .
Kuhaa ang Transmission
Sa Finder , navigate sa / Applications.
Pangitaa ang Transmission app, ug dayon i-right-click ang icon niini.
Gikan sa pop-up nga menu, pagpili sa Ipakita ang Mga Sulod sa Pakete.
Diha sa window sa Finder nga ablihan, pakadto sa / Contents / Resources /.
Pangitaa ang usa ka file nga gimarkahan nga General.rtf.
Kon ang General.rtf file anaa, adunay usa ka nahugno nga bersyon sa Transmission nga gibutang. Kon ang Transmission app nagdagan, pag-undang sa app, i-drag kini sa basurahan, ug dayon haw-i ang basura.
Kuhaa ang KeRanger
Ilunsad ang Activity Monitor , nga nahimutang sa / Applications / Utilities.
Sa Activity Monitor, pilia ang CPU tab.
Sa natad sa pagpangita sa Activity Monitor, isulod ang mosunod:
kernel_serviceug unya mopadayon pagbalik.
Kung adunay serbisyo, kini ilista sa bintana sa Activity Monitor.
Kung karon, doble-klik ang proseso sa Activity Activity Monitor.
Sa bintana nga giablihan, i-klik ang Open Files ug Ports button.
Paghimo og mubo nga sulat sa kernel_service pathname; kini lagmit usa ka butang nga sama sa:
/ Mga gumagamit / homefoldername / Library / kernel_servicePilia ang file, ug dayon i-klik ang Quit button.
Balika ang mga sa ibabaw alang sa kernel_time ug kernel_complete nga mga ngalan sa serbisyo.
Bisan tuod mo-undang ka sa mga serbisyo sulod sa Activity Monitor, kinahanglan usab nga imong makuha ang mga file gikan sa imong Mac. Sa pagbuhat sa ingon, gamita ang file pathnames nga imong gimarkahan aron sa pag-navigate sa kernel_service, kernel_time, ug kernel_complete nga mga file. (Hinumdomi: Tingali wala nimo tanan nga mga file nga anaa sa imong Mac.)
Tungod kay ang mga file nga kinahanglan nimo nga pag-delete nahimutang sa folder sa Librarya sa imong home folder, kinahanglan nimo kining makita nga espesyal nga folder nga makita. Makita nimo ang mga panudlo kon unsaon kini pagbuhat sa OS X Is Hiding Your Library Folder nga artikulo.
Sa higayon nga maka-access ka sa folder sa Library, hikalimtan ang gihisgutan nga mga file pinaagi sa pagguyod niini sa basurahan, pag-klik dayon sa trash icon, ug pagpili sa Empty Trash.