Palo Alto Networks发现针对Mac的Ransomware
2016年3月4日,着名安全公司Palo Alto Networks发布了其发现的KeRanger勒索软件感染传输,Mac BitTorrent客户端。 传输版本2.90的安装程序中找到了实际的恶意软件。
Transmission网站迅速取消了受感染的安装程序,并敦促任何使用Transmission 2.90的用户更新至版本2.92,该版本已通过Transmission免费获得KeRanger的验证。
传输没有讨论受感染的安装程序如何能够在他们的网站上托管,Palo Alto Networks也没有确定传输网站如何被入侵。
KeRanger Ransomware
KeRanger勒索软件与大多数勒索软件一样工作,通过在Mac上加密文件,然后要求付款; 在这种情况下,以比特币的形式(目前价值约400美元)为您提供加密密钥来恢复您的文件。
KeRanger勒索软件由受损传输安装程序安装。 安装程序使用有效的Mac应用程序开发人员证书,允许安装勒索软件以跨越OS X的Gatekeeper技术 ,从而防止在Mac上安装恶意软件。
安装完成后,KeRanger会与Tor网络上的远程服务器建立通信。 然后它睡了三天。 唤醒后,KeRanger将从远程服务器接收加密密钥,并继续对受感染的Mac上的文件进行加密 。
加密的文件包括/ Users文件夹中的文件,这会导致被感染的Mac上的大多数用户文件被加密且不可用。 此外,Palo Alto Networks还报告称,包含所有连接的存储设备(包括本地和您的网络)的挂载点的/ Volumes文件夹也是一个目标。
目前,有关于由KeRanger加密的Time Machine备份的混合信息,但如果将/ Volumes文件夹作为目标,我没有看到Time Machine驱动器未加密的原因。 我的猜测是KeRanger是一个新的勒索软件,关于Time Machine的混合报告只是勒索软件代码中的一个错误; 有时会起作用,有时却不起作用。
苹果反应
Palo Alto Networks将KeRanger勒索软件报告给Apple和Transmission。 两者都迅速反应; 苹果撤销了该应用使用的Mac应用开发者证书,从而允许Gatekeeper停止进一步安装当前版本的KeRanger。 Apple还更新了XProject签名,允许OS X恶意软件防护系统识别KeRanger并阻止安装,即使GateKeeper已禁用,或者配置为低安全性设置。
传输从他们的网站中删除了传输2.90,并迅速重新发布了一个干净版本的传输,版本号为2.92。 我们也可以假设他们正在研究他们的网站如何被入侵,并采取措施防止它再次发生。
如何删除KeRanger
请记住,下载并安装传输应用的受感染版本是目前收购KeRanger的唯一方式。 如果您不使用传输,您目前不需要担心KeRanger。
只要KeRanger尚未对Mac文件进行加密,您就有时间移除应用程序并防止发生加密。 如果你的Mac的文件已经被加密,除了希望你的备份还没有被加密之外,你可以做的不多。 这指出了一个非常好的理由,因为备份驱动器并不总是连接到您的Mac。 例如, 我使用Carbon Copy Cloner来制作Mac数据的每周克隆 。 克隆过程中需要克隆的驱动器外壳才安装在我的Mac上。
如果我遇到勒索软件情况,我可以通过恢复每周克隆来恢复。 使用每周克隆的唯一处罚是可能会过期一周的文件,但这比支付一些恶意的克雷廷赎金要好得多。
如果您发现自己处于Keranger的不幸状况已经陷入困境,除了支付赎金或重新加载OS X并重新开始干净安装之外,我知道没有出路。
删除传输
在Finder中 ,导航到/ Applications。
找到传输应用程序,然后右键单击其图标。
从弹出菜单中选择显示包装内容。
在打开的Finder窗口中,导航到/ Contents / Resources /。
寻找标有General.rtf的文件。
如果General.rtf文件存在,则表示已安装受感染版本的传输。 如果传输应用程序正在运行,请退出应用程序,将其拖至垃圾箱,然后清空垃圾箱。
删除KeRanger
启动Activity Monitor ,位于/ Applications / Utilities。
在活动监视器中,选择CPU选项卡。
在活动监视器的搜索字段中,输入以下内容:
kernel_service然后按回车。
如果该服务存在,它将在活动监视器的窗口中列出。
如果存在,请双击活动监视器中的进程名称。
在打开的窗口中,单击打开文件和端口按钮。
记下kernel_service的路径名; 它可能会是这样的:
/用户/ homefoldername /库/ kernel_service选择该文件,然后单击退出按钮。
对kernel_time和kernel_complete服务名称重复上述操作。
尽管您在活动监视器中退出了这些服务,但您还需要从Mac中删除这些文件。 为此,请使用您记下的文件路径名来导航到kernel_service,kernel_time和kernel_complete文件。 (注意:您的Mac上可能没有所有这些文件。)
由于您需要删除的文件位于您的主文件夹的库文件夹中,因此您需要使该特殊文件夹可见。 您可以在OS X隐藏您的库文件夹文章中找到有关如何执行此操作的说明。
访问库文件夹后,通过将上述文件拖到垃圾箱中,然后右键单击垃圾桶图标并选择清空垃圾箱来删除上述文件。