"Palo Alto Networks" aptinka "Ransomware" taikymą "Mac"
2016 m. Kovo 4 d. "Palo Alto Networks", žinoma saugumo firma, paskelbė KeRanger ransomatera, kuri yra populiarus "Mac BitTorrent" klientas. Tikroji kenkėjiškoji programinė įranga buvo nustatyta "Transmission" 2.90 versija.
Perdavimo tinklalapis greitai paėmė užkrėstą diegimo programą ir ragina visus, kurie naudoja "Transmission 2.90", atnaujinti iki 2.92 versijos, kuri buvo patvirtinta "Transmission", kad be "KeRanger".
Perdavimas neaptarė, kaip savo kompiuteryje buvo galima įkelti užkrėstą diegimo programą, taip pat "Palo Alto Networks" negalėjo nustatyti, kaip buvo pažeista "Transmission" svetainė.
KeRanger Ransomware
"KeRanger ransomware" veikia kaip dauguma "ransomware", šifruodama failus "Mac" sistemoje ir reikalaudama mokėjimo; šiuo atveju bitcoino forma (šiuo metu vertinama apie 400 USD), kad suteiktų jums šifravimo raktą, kad galėtumėte atkurti failus.
"KeRanger ransomware" įdiegia kompromisinis "Transmission installer". Montuotojas naudoja galiojantį "Mac" programų kūrėjo sertifikatą, leidžiantį įdiegti "ransomware", kad galėtų skristi ankstesnėje OS X "Gatekeeper" technologijoje , kuri neleidžia įdiegti "Mac" kenkėjiškos programos.
Kai įdiegta, "KeRanger" nustato ryšį su nuotoliniu "Tor" tinklo serveriu. Tada jis eina miegoti tris dienas. Kai tai prabudus, "KeRanger" gauna šifravimo raktą iš nuotolinio serverio ir tęsia šifruoti failus užkrėstame "Mac".
Failai užšifruoti apima tuos, kurie yra aplanke / Vartotojai, todėl dauguma užfiksuotų "Mac" naudotojų failų tampa užšifruojami ir netinkami naudoti. Be to, "Palo Alto Networks" praneša, kad aplankas "/ tomai", kuriame yra visų prijungtų saugyklų, tiek vietinio, tiek tinklo, yra taškas.
Šiuo metu "KeRanger" yra užkoduota " Time Machine" atsarginių kopijų informacija, tačiau jei aplankas / Towers yra nukreiptas, nematau jokios priežasties, kodėl "Time Machine" diskas nebus šifruotas. Manau, kad KeRanger yra tokia nauja ransomware dalis, kad mišrios ataskaitos apie "Time Machine" yra paprasčiausiai rangos kovos programos klaidos klaida; kartais tai veikia, o kartais ir ne.
"Apple Reacts"
"Palo Alto Networks" pranešė "KeRanger ransomware" tiek "Apple", tiek "Transmission". Abu reagavo greitai; "Apple" atšaukė "Mac" programų kūrėjo sertifikatą, naudojamą programoje, todėl "Gatekeeper" leido sustabdyti tolesnius dabartinės KeRanger versijos įrenginius. "Apple" taip pat atnaujino "XProject" parašus, leidžiančius "OS X" kenkėjiškų programų prevencijos sistemai atpažinti "KeRanger" ir užkirsti kelią diegimui, net jei "GateKeeper" yra išjungtas arba sukonfigūruotas mažos saugumo nustatymui.
Perdavimas pašalintas iš savo svetainės perdavimo 2.90 ir greitai iš naujo išleista švarios versijos "Transmission" versijos numeris 2.92. Mes taip pat galime manyti, kad jie žiūri į tai, kaip jų svetainė buvo pažeista, ir imtis priemonių, kad vėl nebūtų.
Kaip pašalinti KeRanger
Nepamirškite, kad atsisiųsti ir įdiegti užkrėstą "Transmission" programos versiją šiuo metu yra vienintelis būdas įsigyti "KeRanger". Jei nenaudojate Transmisijos, šiuo metu nereikia nerimauti dėl "KeRanger".
Kol "KeRanger" neužsikrovė "Mac" failų, turite laiko pašalinti programą ir užkirsti kelią šifravimui. Jei jūsų "Mac" failai jau yra užkoduoti, tai nėra daug, ką galite padaryti, tik tikiuosi, kad jūsų atsarginės kopijos taip pat nebuvo šifruotos. Tai rodo labai gerą priežastį, kodėl atsarginės diskų įrenginys ne visada yra prijungtas prie "Mac". Pavyzdžiui, aš naudoju "Carbon Copy Cloner", kad kas savaitę sukonfigūruotų mano "Mac" duomenis . Krovinio pavara, kurios klonas nėra montuojamas mano kompiuteryje, kol tai nereikalinga klonavimo procesui.
Jei aš patekčiau į "ransomware" situaciją, galėjau susigrąžinti, atkurdamas iš savaitinio klono. Vienintelė nuobauda už naudojimąsi savaitinio klonu yra failų, kurie gali būti iki vienos savaitės pasenusi, tačiau tai daug geriau nei mokėti kokį nors kenksmingą kretiną už išpirką.
Jei atsidursite apgailėtinoje KeRanger situacijoje, kuri jau pasirodė spąstai, aš nežinau jokios kitos išeities, nei sumokėti išpirką ar pakartotinai įkrauti OS X, o pradėti nuo švaraus įdiegimo .
Pašalinti transmisiją
"Finder" naršyklėje pereikite prie / Applications.
Suraskite "Transmission" programą, tada dešiniuoju pelės mygtuku spustelėkite jos piktogramą.
Iššokančiojo meniu pasirinkite Rodyti paketo turinį.
Atsidariusiame "Finder" lange eikite į / Contents / Resources /.
Suraskite failą, pažymėtą General.rtf.
Jei yra failas General.rtf, turite įdiegtą užkrėstą "Transmission" versiją. Jei programa "Transmission" veikia, palikite programą, vilkite ją į šiukšliadėžę ir išmeskite šiukšliadėžę.
Pašalinti KeRanger
Paleiskite "Activity Monitor" , esantį / Applications / Utilities.
Veiklos monitoriuje pasirinkite CPU skirtuką.
Į "Activity Monitor" paieškos laukelį įveskite:
kernel_serviceir tada paspauskite grįžti.
Jei paslauga egzistuoja, ji bus nurodyta veiklos monitoriaus lange.
Jei yra, dukart spustelėkite proceso pavadinimą "Activity Monitor".
Atidarytame lange spustelėkite mygtuką Atidaryti failus ir prievadus.
Padarykite kernel_service pathname užrašą; greičiausiai bus kažkas panašaus:
/ users / homefoldername / biblioteka / kernel_servicePasirinkite failą ir spustelėkite mygtuką Baigti.
Kernel_time ir kernel_complete paslaugų pavadinimų kartokite pirmiau.
Nors jūs išeinate iš "Activity Monitor" paslaugų, taip pat turite ištrinti failus iš "Mac". Norėdami tai padaryti, naudokite failų pavadinimus, kuriuos nurodėte, kad pereitumėte prie kernel_service, kernel_time ir kernel_complete failų. (Pastaba: galbūt neturite visų šių failų "Mac" kompiuteryje.)
Kadangi failai, kuriuos reikia pašalinti, yra jūsų namų aplanko bibliotekos aplanke, jums reikės matyti šį specialų aplanką. Galite rasti instrukcijas, kaip tai padaryti " OS X" slepia bibliotekos aplanko straipsnį.
Kai turėsite prieigą prie bibliotekos aplanko, ištrinkite pirmiau minėtus failus, vilkite juos į šiukšliadėžę, tada dešiniuoju pelės mygtuku spustelėkite šiukšliadėžės piktogramą ir pasirinkite Tuščias šiukšliadėžė.