Palo Alto Networks phát hiện ra Ransomware Nhắm mục tiêu máy Mac
Vào ngày 4 tháng 3 năm 2016, Palo Alto Networks, một hãng bảo mật nổi tiếng, đã công bố phát hiện ra phần mềm ransomware của KeRanger lây nhiễm Transmission, máy khách Mac BitTorrent phổ biến. Phần mềm độc hại thực sự được tìm thấy trong trình cài đặt cho phiên bản Truyền 2.90.
Trang web truyền tải nhanh chóng gỡ xuống trình cài đặt bị nhiễm và đang thúc giục bất kỳ ai sử dụng Transmission 2.90 để cập nhật lên phiên bản 2.92, đã được xác minh bởi Transmission không có KeRanger.
Quá trình truyền không thảo luận cách trình cài đặt bị nhiễm có thể được lưu trữ trên trang web của họ, cũng như không có Palo Alto Networks có thể xác định cách trang web Truyền bị xâm phạm.
KeRanger Ransomware
Các ransomware KeRanger hoạt động như hầu hết các phần mềm ransomware, bằng cách mã hóa các tập tin trên máy Mac của bạn, và sau đó yêu cầu thanh toán; trong trường hợp này, dưới dạng bitcoin (hiện có giá trị khoảng 400 đô la) để cung cấp cho bạn khóa mã hóa để khôi phục các tệp của bạn.
Các ransomware KeRanger được cài đặt bởi trình cài đặt truyền bị xâm phạm. Trình cài đặt sử dụng chứng chỉ nhà phát triển ứng dụng Mac hợp lệ, cho phép cài đặt phần mềm ransomware chạy qua công nghệ Gatekeeper của OS X , ngăn cản cài đặt phần mềm độc hại trên máy Mac.
Sau khi cài đặt, KeRanger thiết lập giao tiếp với một máy chủ từ xa trên mạng Tor. Sau đó nó đi ngủ trong ba ngày. Khi nó tỉnh dậy, KeRanger nhận khóa mã hóa từ máy chủ từ xa và tiến hành mã hóa các tệp trên Mac bị nhiễm.
Các tệp được mã hóa bao gồm các tệp trong thư mục / Users, kết quả là hầu hết các tệp người dùng trên Mac bị nhiễm đều trở nên được mã hóa và không thể sử dụng được. Ngoài ra, Palo Alto Networks báo cáo rằng thư mục / Volumes, có chứa điểm gắn kết cho tất cả các thiết bị lưu trữ đính kèm, cả cục bộ lẫn trên mạng của bạn, cũng là một mục tiêu.
Tại thời điểm này, có thông tin hỗn hợp về các bản sao lưu Time Machine được KeRanger mã hóa, nhưng nếu thư mục / Volumes được nhắm mục tiêu, tôi không thấy lý do tại sao một ổ đĩa Time Machine sẽ không được mã hóa. Đoán của tôi là KeRanger là một phần mới của ransomware rằng các báo cáo hỗn hợp về Time Machine chỉ đơn giản là một lỗi trong mã ransomware; đôi khi nó hoạt động, và đôi khi nó không.
Phản ứng của Apple
Palo Alto Networks đã báo cáo phần mềm ransomware của KeRanger cho cả Apple và Transmission. Cả hai phản ứng nhanh chóng; Apple đã thu hồi chứng chỉ nhà phát triển ứng dụng Mac được ứng dụng sử dụng, do đó cho phép Gatekeeper ngừng cài đặt thêm phiên bản hiện tại của KeRanger. Apple cũng cập nhật chữ ký XProject, cho phép hệ thống phòng chống phần mềm độc hại OS X nhận diện KeRanger và ngăn chặn cài đặt, ngay cả khi GateKeeper bị tắt hoặc được định cấu hình cho cài đặt bảo mật thấp.
Truyền bị loại bỏ Truyền 2.90 từ trang web của họ và nhanh chóng phát hành lại phiên bản Truyền dẫn rõ ràng, với số phiên bản là 2,92. Chúng tôi cũng có thể giả định rằng họ đang xem xét trang web của họ bị xâm phạm như thế nào và thực hiện các biện pháp để ngăn chặn nó xảy ra lần nữa.
Làm thế nào để loại bỏ KeRanger
Hãy nhớ rằng, tải xuống và cài đặt phiên bản ứng dụng Truyền bị nhiễm hiện là cách duy nhất để có được KeRanger. Nếu bạn không sử dụng Transmission, bạn hiện không cần phải lo lắng về KeRanger.
Miễn là KeRanger chưa mã hóa các tệp của Mac, bạn có thời gian để xóa ứng dụng và ngăn không cho mã hóa xảy ra. Nếu các tập tin Mac của bạn đã được mã hóa, bạn không thể làm gì nhiều ngoại trừ hy vọng các bản sao lưu của bạn cũng chưa được mã hóa. Điều này chỉ ra một lý do rất tốt để có một ổ đĩa sao lưu không phải lúc nào cũng được kết nối với máy Mac của bạn. Ví dụ, tôi sử dụng Carbon Copy Cloner để tạo bản sao hàng tuần dữ liệu của máy Mac . Các ổ đĩa nhà ở mà bản sao không được gắn trên máy Mac của tôi cho đến khi nó cần thiết cho quá trình nhân bản.
Nếu tôi đã rơi vào tình huống ransomware, tôi có thể phục hồi bằng cách khôi phục từ bản sao hàng tuần. Hình phạt duy nhất cho việc sử dụng bản sao hàng tuần là có các tệp có thể lên đến một tuần lỗi thời, nhưng điều đó tốt hơn nhiều so với việc trả một số tiền chuộc bất chính.
Nếu bạn thấy mình trong tình huống không may của KeRanger đã bung bẫy của nó, tôi biết không có cách nào khác ngoài việc trả tiền chuộc hoặc tải lại OS X và bắt đầu lại với một cài đặt sạch sẽ .
Xóa truyền
Trong Trình tìm kiếm , điều hướng đến / Ứng dụng.
Tìm ứng dụng Truyền, sau đó nhấp chuột phải vào biểu tượng của nó.
Từ trình đơn bật lên, chọn Hiển thị nội dung gói.
Trong cửa sổ Finder mở ra, điều hướng đến / Contents / Resources /.
Tìm tệp có nhãn General.rtf.
Nếu có tệp General.rtf, bạn đã cài đặt phiên bản Truyền nhiễm. Nếu ứng dụng Truyền đang chạy, hãy thoát ứng dụng, kéo ứng dụng đó vào thùng rác và sau đó dọn sạch thùng rác.
Xóa KeRanger
Khởi chạy Trình giám sát hoạt động , nằm tại / Applications / Utilities.
Trong Activity Monitor, chọn thẻ CPU.
Trong trường tìm kiếm của Activity Monitor, nhập thông tin sau:
kernel_servicevà sau đó nhấn trở lại.
Nếu dịch vụ tồn tại, nó sẽ được liệt kê trong cửa sổ Activity Monitor.
Nếu có, bấm đúp vào tên quy trình trong Trình giám sát hoạt động.
Trong cửa sổ mở ra, nhấp vào nút Mở tệp và cổng.
Ghi lại tên đường dẫn kernel_service; nó có thể sẽ giống như:
/ users / homefoldername / Library / kernel_serviceChọn tệp, rồi bấm vào nút Thoát.
Lặp lại ở trên cho tên kernel_time và kernel_complete .
Mặc dù bạn thoát khỏi các dịch vụ trong Activity Monitor, bạn cũng cần phải xóa các tập tin từ máy Mac của bạn. Để làm như vậy, hãy sử dụng các tên đường dẫn tệp mà bạn đã lưu ý để điều hướng đến tệp kernel_service, kernel_time và kernel_complete. (Lưu ý: Bạn có thể không có tất cả các tệp này trên máy Mac của mình.)
Vì các tệp bạn cần xóa được đặt trong thư mục Thư viện của thư mục gốc của bạn, bạn sẽ cần phải làm cho thư mục đặc biệt này hiển thị. Bạn có thể tìm thấy hướng dẫn về cách thực hiện việc này trong bài viết X đang ẩn thư mục thư viện của bạn .
Khi bạn có quyền truy cập vào thư mục Thư viện, hãy xóa các tệp đã đề cập ở trên bằng cách kéo chúng vào thùng rác, sau đó nhấp chuột phải vào biểu tượng thùng rác và chọn Dọn sạch Thùng rác.