Palo Alto Networks發現針對Mac的Ransomware
2016年3月4日,著名安全公司Palo Alto Networks發布了其發現的KeRanger勒索軟件感染傳輸,Mac BitTorrent客戶端。 傳輸版本2.90的安裝程序中找到了實際的惡意軟件。
Transmission網站迅速取消了受感染的安裝程序,並敦促任何使用Transmission 2.90的用戶更新至版本2.92,該版本已通過Transmission免費獲得KeRanger的驗證。
傳輸沒有討論受感染的安裝程序如何能夠在他們的網站上託管,Palo Alto Networks也沒有確定傳輸網站如何被入侵。
KeRanger Ransomware
KeRanger勒索軟件與大多數勒索軟件一樣工作,通過在Mac上加密文件,然後要求付款; 在這種情況下,以比特幣的形式(目前價值約400美元)為您提供加密密鑰來恢復您的文件。
KeRanger勒索軟件由受損傳輸安裝程序安裝。 安裝程序使用有效的Mac應用程序開發人員證書,允許安裝勒索軟件以跨越OS X的Gatekeeper技術 ,從而防止在Mac上安裝惡意軟件。
安裝完成後,KeRanger會與Tor網絡上的遠程服務器建立通信。 然後它睡了三天。 喚醒後,KeRanger將從遠程服務器接收加密密鑰,並繼續對受感染的Mac上的文件進行加密 。
加密的文件包括/ Users文件夾中的文件,這會導致被感染的Mac上的大多數用戶文件被加密且不可用。 此外,Palo Alto Networks還報告稱,包含所有連接的存儲設備(包括本地和您的網絡)的掛載點的/ Volumes文件夾也是一個目標。
目前,有關於由KeRanger加密的Time Machine備份的混合信息,但如果將/ Volumes文件夾作為目標,我沒有看到Time Machine驅動器未加密的原因。 我的猜測是KeRanger是一個新的勒索軟件,關於Time Machine的混合報告只是勒索軟件代碼中的一個錯誤; 有時會起作用,有時卻不起作用。
蘋果反應
Palo Alto Networks將KeRanger勒索軟件報告給Apple和Transmission。 兩者都迅速反應; 蘋果撤銷了該應用使用的Mac應用開發者證書,從而允許Gatekeeper停止進一步安裝當前版本的KeRanger。 Apple還更新了XProject簽名,允許OS X惡意軟件防護系統識別KeRanger並阻止安裝,即使GateKeeper已禁用,或者配置為低安全性設置。
傳輸從他們的網站中刪除了傳輸2.90,並迅速重新發布了一個乾淨版本的傳輸,版本號為2.92。 我們也可以假設他們正在研究他們的網站如何被入侵,並採取措施防止它再次發生。
如何刪除KeRanger
請記住,下載並安裝傳輸應用的受感染版本是目前收購KeRanger的唯一方式。 如果您不使用傳輸,您目前不需要擔心KeRanger。
只要KeRanger尚未對Mac文件進行加密,您就有時間移除應用程序並防止發生加密。 如果你的Mac的文件已經被加密,除了希望你的備份還沒有被加密之外,你可以做的不多。 這指出了一個非常好的理由,因為備份驅動器並不總是連接到您的Mac。 例如, 我使用Carbon Copy Cloner來製作Mac數據的每周克隆 。 克隆過程中需要克隆的驅動器外殼才安裝在我的Mac上。
如果我遇到勒索軟件情況,我可以通過恢復每周克隆來恢復。 使用每周克隆的唯一處罰是可能會過期一周的文件,但這比支付一些惡意的克雷廷贖金要好得多。
如果您發現自己處於Keranger的不幸狀況已經陷入困境,除了支付贖金或重新加載OS X並重新開始乾淨安裝之外,我知道沒有出路。
刪除傳輸
在Finder中 ,導航到/ Applications。
找到傳輸應用程序,然後右鍵單擊其圖標。
從彈出菜單中選擇顯示包裝內容。
在打開的Finder窗口中,導航到/ Contents / Resources /。
尋找標有General.rtf的文件。
如果General.rtf文件存在,則表示已安裝受感染版本的傳輸。 如果傳輸應用程序正在運行,請退出應用程序,將其拖至垃圾箱,然後清空垃圾箱。
刪除KeRanger
啟動Activity Monitor ,位於/ Applications / Utilities。
在活動監視器中,選擇CPU選項卡。
在活動監視器的搜索字段中,輸入以下內容:
kernel_service然後按回車。
如果該服務存在,它將在活動監視器的窗口中列出。
如果存在,請雙擊活動監視器中的進程名稱。
在打開的窗口中,單擊打開文件和端口按鈕。
記下kernel_service的路徑名; 它可能會是這樣的:
/用戶/ homefoldername /庫/ kernel_service選擇該文件,然後單擊退出按鈕。
對kernel_time和kernel_complete服務名稱重複上述操作。
儘管您在活動監視器中退出了這些服務,但您還需要從Mac中刪除這些文件。 為此,請使用您記下的文件路徑名來導航到kernel_service,kernel_time和kernel_complete文件。 (注意:您的Mac上可能沒有所有這些文件。)
由於您需要刪除的文件位於您的主文件夾的庫文件夾中,因此您需要使該特殊文件夾可見。 您可以在OS X隱藏您的庫文件夾文章中找到有關如何執行此操作的說明。
訪問庫文件夾後,通過將上述文件拖到垃圾箱中,然後右鍵單擊垃圾桶圖標並選擇清空垃圾箱來刪除上述文件。