Palo Alto ქსელები აღმოაჩენს Ransomware Targeting Macs
2016 წლის 4 მარტს ცნობილი უსაფრთხოების ფირმა Palo Alto Networks გამოაქვეყნა KeRanger ransomware- ის ინფლაციის გავრცელების აღმოჩენა, პოპულარული Mac BitTorrent კლიენტი. ფაქტობრივი მავნე აღმოაჩინეს გადამცემი ვერსია 2.90.
ტრანსმისიის ნახვა სწრაფად ამოიღეს ინფიცირებული ინსტალერი და მოუწოდებს ვინმეს გამოყენებით ტრანსმისიის 2.90 განაახლოს ვერსია 2.92, რომელიც გადამოწმდა გადამცემი თავისუფალი იყოს KeRanger.
გადამცემი არ განიხილავს, თუ როგორ ინფიცირებული ინსტალერი შეძლებდნენ თავიანთ ვებ-გვერდს მასპინძლობდნენ და არც პლომო ალტო ქსელები შეძლეს იმის განსაზღვრა, თუ როგორ მოხდა გადამცემი საიტი კომპრომეტირებული.
KeRanger Ransomware
KeRanger ransomware მუშაობს როგორც საუკეთესო ransomware აკეთებს, encrypting ფაილი თქვენს Mac და შემდეგ მოითხოვოს გადახდის; ამ შემთხვევაში, ბიკონის სახით (ამჟამად დაახლოებით $ 400), მოგაწოდოთ შიფრირების გასაღები თქვენი ფაილების აღსადგენად.
KeRanger ransomware დამონტაჟებულია კომპრომეტირებული გადამცემი ინსტალერი. ინსტალერი იყენებს Mac- ის აპლიკაციის დეველოპერის სერტიფიკატის გამოყენებას, რომელიც საშუალებას მისცემს ransomware- ის ინსტალაციას OS X- ის Gatekeeper ტექნოლოგიის გასავრცელებლად , რომელიც ხელს უშლის მალტის ინსტალაციას Mac- ზე.
ერთხელ დამონტაჟებული, KeRanger- ი ქმნის კავშირს დისტანციურ სერვერთან Tor ქსელში. მას შემდეგ მიდის დაძინება სამი დღის განმავლობაში. ერთხელ awakens, KeRanger იღებს დაშიფვრის გასაღები დაშორებული სერვერზე და აგრძელებს დაშიფვრა ფაილი ინფიცირებული Mac.
ფაილები დაშიფრულია იმ მომხმარებლების / საქაღალდეებში, რომლებიც იწვევენ ინფიცირებულ Mac- ის უმეტეს მომხმარებლის ფაილებს დაშიფრული და არა გამოსადეგი. გარდა ამისა, Palo Alto Networks იუწყება, რომ / ტომი ფოლდერი, რომელიც შეიცავს მთელს წერტილს ყველა თანდართულ შენახვის მოწყობილობას, როგორც ადგილობრივ, ასევე თქვენს ქსელში, ასევე სამიზნე.
ამ დროს, არსებობს შერეული ინფორმაცია Time Machine სარეზერვო მიმდინარეობს დაშიფრულია მიერ KeRanger, მაგრამ თუ / ტომი საქაღალდეში არის მიზანმიმართული, მე ვერ ვხედავ არანაირი მიზეზი, რის გამოც დრო მანქანა დრაივი არ იქნება დაშიფრული. ჩემი ვხვდები ის არის, რომ KeRanger ასეთი ახალი ნაჭერი ransomware, რომ შერეული ანგარიშები Time Machine უბრალოდ შეცდომა ransomware კოდი; ზოგჯერ მუშაობს, ზოგჯერ კი არა.
Apple რეაგირებს
Palo Alto ქსელები იტყობინება KeRanger ransomware ორივე Apple და Transmission. ორივე რეაგირება სწრაფად; Apple- მა შეცვალა აპლიკაციის მიერ გამოყენებული Mac აპლიკაციის დეველოპერის სერტიფიკატი, რაც საშუალებას მისცემს Gatekeeper- ს შეაჩეროს KeRanger- ის მიმდინარე ვერსიის შემდგომი ინსტალაცია. Apple ასევე განახლდა XProject ხელმოწერები, რომელიც საშუალებას აძლევს OS X მავნე პრევენციის სისტემას აღიაროს KeRanger და არ დაუშვას ინსტალაცია, მაშინაც კი, თუ GateKeeper გამორთულია, ან კონფიგურაცია დაბალი უსაფრთხოების გარემოში.
ტრანსმისიამ ამოიღო გადამისამართება 2.90 მათი ნახვადან და სწრაფად გადააქცია ტრანსმისიის სუფთა ვერსია, რომლის ვერსია 2.92. ჩვენ ასევე შეგვიძლია ვივარაუდოთ, რომ ისინი ეძებენ იმას, თუ როგორ მოხდა მათი ნახვა კომპრომეტირებული და ზომები, რათა თავიდან იქნას აცილებული ისევ.
როგორ ამოიღონ KeRanger
გახსოვდეთ, გადამდები აპების ინფიცირებული ვერსიის გადმოტვირთვა და ინსტალაცია არის KeRanger- ის შეძენის ერთადერთი გზა. თუ არ იყენებთ ტრანსმისიას, თქვენ არ გჭირდებათ ფიქრი KeRanger- ის შესახებ.
სანამ KeRanger არ დაშიფრულია თქვენი Mac- ის ფაილი ჯერჯერობით, თქვენ გაქვთ დრო ამოიღონ app და თავიდან აცილების მიზნით encryption საწყისი ხდება. თუ თქვენი Mac- ის ფაილი უკვე დაშიფრულია, არ არის ბევრი რამის გაკეთება შეგიძლიათ იმედის გარდა, თქვენი სარეზერვო არ არის დაშიფრული. ეს მიუთითებს ძალიან კარგი მიზეზი, რომელსაც აქვს სარეზერვო დრაივი, რომელიც ყოველთვის არ არის დაკავშირებული თქვენს Mac- ზე. მაგალითად, ვიყენებ ნახშირბადის ასლი კლონერს, რათა ჩემი Mac- ის მონაცემების ყოველკვირეული კლონი გამოვიყენო . დისკის საბინაო, რომ კლონი არ არის დამონტაჟებული ჩემი Mac სანამ საჭიროა კლონირება პროცესში.
თუ ransomware სიტუაციაში გადავედი, მე ვიხილავდი ყოველკვირეული კლონის აღდგენას. ერთადერთი ჯარიმა, რომელიც ყოველკვირეულ კლონს იყენებდა, ერთი კვირის განმავლობაში შეიძლება იყოს, მაგრამ ეს ბევრად უკეთესია, ვიდრე გამოსასყიდის გადახდა.
თუ აღმოჩენილია KeRanger- ის სამწუხარო სიტუაცია, მაშინაც კი, რომ მე არ ვიცი გამოსასყიდი, გარდა გამოსასყიდი ან გადატვირთვა OS X- ს და სუფთა ინსტალაციას იწყებს .
ტრანსმისიის ამოღება
In Finder , ნავიგაცია / პროგრამები.
იპოვეთ ტრანსმისიის აპლიკაცია, შემდეგ მარჯვენა ღილაკით მისი ხატი.
საწყისი pop-up მენიუ, აირჩიეთ ჩვენება პაკეტის შინაარსი.
In Finder window, რომელიც იხსნება, ნავიგაცია / შინაარსი / რესურსები /.
შეხედეთ ფაილის იარლიყს General.rtf.
თუ General.rtf ფაილი არსებობს, გაქვთ ინფიცირებული გადამცემი ვერსია დამონტაჟებული. თუ გადამცემი აპლიკაცია გაშვებულია, დატოვეთ აპლიკაცია, წაშალეთ იგი ნაგავში და შემდეგ წაშალეთ წაშლა.
KeRanger- ის წაშლა
დაიწყე აქტივობის მონიტორი , რომელიც განთავსებულია აპლიკაციებში / აპლიკაციებში.
აქტივობის მონიტორიში აირჩიეთ CPU tab.
აქტივობის მონიტორის საძიებო ველში შეიტანეთ შემდეგი:
kernel_serviceდა შემდეგ დააჭირეთ დაბრუნებას.
სერვისის არსებობის შემთხვევაში, ეს იქნება აქტიურობა მონიტორის ფანჯარაში.
თუ ესწრებოდა, აქტივობის მონიტორის პროცესის ორმაგი დაწკაპუნება.
ფანჯარაში გახსნის ღილაკს ღია ფაილები და პორტები.
გაითვალისწინეთ kernel_service pathname- ის შენიშვნა; ეს სავარაუდოდ ასე იქნება:
/ მომხმარებლები / homefoldername / ბიბლიოთეკა / kernel_serviceაირჩიეთ ფაილი, და შემდეგ დააჭირეთ ღილაკს Quit ღილაკს.
გაიმეორეთ ზემოთ kernel_time და kernel_complete სერვისის სახელები.
მიუხედავად იმისა, რომ აქტიურ მონიტორში შედიხართ, თქვენ ასევე უნდა წაშალოთ ფაილები Mac- დან. ამისათვის გამოიყენეთ ფაილური გზავნილები, რომლებიც გაითვალისწინეთ kernel_service, kernel_time და kernel_complete ფაილების ნავიგაცია. (შენიშვნა: თქვენ არ შეიძლება ყველა ამ ფაილს თქვენი Mac- ზე).
მას შემდეგ, რაც ფაილების წაშლა გჭირდებათ, თქვენი სახლის საქაღალდეში არსებული ბიბლიოთეკის საქაღალდეში მდებარეობს, თქვენ უნდა გამოვიტანოთ ეს სპეციალური საქაღალდე. თქვენ შეგიძლიათ იპოვოთ ინსტრუქციები, თუ როგორ უნდა გააკეთოთ ეს OS X- ში შენი ბიბლიოთეკის საქაღალდის დამალვა .
ბიბლიოთეკის საქაღალდეში წვდომისთანავე წაშლა ზემოთ აღნიშნული ფაილების წაშლა, წაშალეთ ისინი ნაგავში, შემდეგ მარჯვენა ღილაკზე დაჭერით ხატულაზე დაჭერით.