Пало Алто Нетворкс открива Рансомваре Таргетинг Мацс
4. марта 2016. године, Пало Алто Нетворкс, позната сигурносна фирма, објавила је откриће КеРангер рансомваре инфективног преноса, популарног Мац БитТоррент клијента. Стварни злонамерни софтвер пронађен је у оквиру инсталатера за Трансмиссион верзију 2.90.
Интернет страница Трансмиссион брзо је преузела заражену инсталацију и позива свакога ко користи Пренос 2.90 да би се ажурирао на верзију 2.92, која је верификована Трансмиссионом да није доступна КеРангер-у.
Пренос није разматрао како је заражени инсталатер могао бити хостован на њиховој веб страници, нити је Пало Алто Нетворкс био у могућности да одреди како је локација преноса угрожена.
КеРангер Рансомваре
КеРангер рансомваре ради већина рансомваре-а, шифрирајући датотеке на Мац-у, а потом захтевајући плаћање; у овом случају, у облику биткоина (тренутно вреди око 400 долара) да вам обезбеди кључ за шифровање да бисте опоравили своје датотеке.
КеРангер рансомваре је инсталиран од стране угроженог инсталатера преноса. Инсталатер користи важећи сертификат за израду апликација за Мац, омогућавајући инсталацију рансомваре-а да прелази мимо ОС Кс-ове Гатекеепер технологије , чиме се спречава инсталирање малвера на Мац.
Једном инсталиран, КеРангер поставља комуникацију са удаљеним сервером на мрежи Тор. Онда спава три дана. Када се пробуди, КеРангер прима кључ за шифровање са удаљеног сервера и наставља да шифрира датотеке на зараженом Мацу.
Шифроване датотеке укључују оне у фасцикли / Корисници, што доводи до тога да већина корисничких датотека на зараженом Мац постане шифрована и не могу се користити. Поред тога, Пало Алто Нетворкс извештава да је фасцикла / опсег, која садржи тачку монтирања за све прикључене уређаје за складиштење, како локално, тако и на вашој мрежи.
У овом тренутку постоје мјешовите информације о резервним копијама Тиме Мацхине-а које су Кеитхангер шифриране, али ако је циљана фасцикла / опсег, не видим разлог зашто не би било шифрирање уређаја Тиме Мацхине. Претпостављам да је КеРангер такав нови комад рансомваре-а који мијешани извјештаји о Тиме Мацхине-у представљају буг у шифру рансомваре-а; понекад ради, а понекад и не.
Аппле реагује
Пало Алто Нетворкс је извештао КеРангер рансомваре како за Аппле, тако и за пренос. Обојица су брзо реаговали; Аппле је поништио сертификат за програмер за Мац апликације које је користила апликација, чиме је омогућио Гатекеепер-у да заустави даље инсталације тренутне верзије КеРангер-а. Аппле је такође ажурирао КСПројецт потпис, омогућавајући систему за спречавање злонамјерног програма ОС Кс препознати КеРангер и спречити инсталацију, чак и ако је ГатеКеепер онемогућен или је конфигурисан за подешавање мале сигурности.
Пренос је уклоњен Пренос 2.90 са њихове интернет странице и брзо издао чисту верзију Преноса, са верзијом од 2.92. Такође можемо претпоставити да гледају како је њихова интернет страница угрожена и да предузима мере како би то спречило да се поново деси.
Како уклонити КеРангер
Запамтите, преузимање и инсталирање заражене верзије апликације Пренос је тренутно једини начин за преузимање КеРангер-а. Ако не користите Трансмиссион, тренутно не морате да бринете о КеРангер-у.
Све док КеРангер још није шифрирао ваше Мацове датотеке, имате времена да уклоните апликацију и спречите да се шифровање појави. Ако су датотеке вашег Мац-а већ шифроване, нема много тога што можете учинити, осим ако нисте резервисали резервне копије. Ово указује на добар разлог за резервну вожњу која није увек повезана са вашим Мац-ом. Као пример, користим Царбон Цопи Цлонер да направим недељни клон података мога Мац-а . Погон у којем је тај клон није монтиран на мој Мац док не буде потребно за процес клонирања.
Да сам наишао на ситуацију у случају откупа, могла бих да се опоравим тако што ћу вратити недељни клон. Једина казна за кориштење недјељног клона је имати фајлове који могу бити и до једне недеље застарели, али то је много боље него плаћање некаквог кривичног кретина за откуп.
Ако се нађете у несрећној ситуацији КеРангер-а која је већ покренула своју замку, не знам ништа друго него плаћање откупа или преоптерећење ОС Кс-а и почетак са чистом инсталацијом .
Уклони пренос
У Финдеру идите на / Апплицатионс.
Пронађите апликацију Пренос, а затим кликните десним тастером миша на икону.
У искачућем менију изаберите Прикажи садржај пакета.
У прозору Финдер који се отвори, пређите на / Цонтентс / Ресоурцес /.
Потражите датотеку са ознаком Генерал.ртф.
Ако је датотека Генерал.ртф присутна, имате инфицирану верзију преноса. Ако апликација Пренос ради, изађите из апликације, превуците је у смеће, а затим испразните смеће.
Уклони КеРангер
Лаунцх Ацтивити Монитор , налази се у / Апплицатионс / Утилитиес.
У програму Ацтивити Монитор изаберите картицу ЦПУ.
У поље за претрагу Ацтивити Монитор унесите следеће:
кернел_сервицеа затим притисните повратак.
Ако услуга постоји, она ће бити наведена у прозору Ацтивити Монитор.
Ако је присутан, двапут кликните на назив процеса у Ацтивити Монитор.
У прозору који се отвори кликните на дугме Отвори датотеке и портове.
Забележите име путање кернел_сервице; вероватно ће бити нешто попут:
/ усерс / хомефолдернаме / Библиотека / кернел_сервицеИзаберите датотеку, а затим кликните на дугме Куит.
Поновите горе за кернел_тиме и кернел_цомплете имена сервиса.
Иако прекинете услуге унутар Ацтивити Монитор-а, такође морате избрисати датотеке са вашег Мац-а. Да бисте то урадили, користите путање имена датотеке коју сте направили да бисте се кретали у датотеке кернел_сервице, кернел_тиме и кернел_цомплете. (Напомена: Можда немате све ове датотеке присутне на Мац рачунару.)
Пошто датотеке које морате да избришете налазе се у фолдеру Библиотеке вашег кућног фасцикла, морате да направите овај посебан фолдер видљив. Можете пронаћи упутства како то учинити у чланку ОС Кс Ис Хидинг Иоур Либрари Фолдер .
Када имате приступ фолдеру Библиотека, обришите горе поменуте датотеке тако што ћете их превући у смеће, а затим кликните десним тастером миша на икону смећа и изаберите ставку Празни отпад.