KeRanger: Den First Mac Ransomware an de Wëllen entdeckt

Palo Alto Networks entdeckt Ransomware Targeting Macs

Den 4. Mäerz 2016 huet Palo Alto Networks, eng bekannte Sécherheetsfirma, seng Entdeckung vu KeRanger Ransomware infizéiert Transmission, de populäre Mac BitTorrent Client. Dee aktuell Malware gouf fonnt am Installateur fir Transmission Versioun 2.90.

D'Transmission Websäit huet séier den enfektege Installateur ze huelen an dréckt jiddereen iwwer Transmissioun 2.90, fir op Version 2.92 ze aktualiséieren, déi duerch Transmission gefeiert gouf, fir KeRanger gratis ze ginn.

Transmissioun huet net diskutéiert wéi de infizéierte Installateur op senger Websäit gehal ginn huet, an och net Palo Alto Networks konnt feststellen wéi d'Transmissionsplat opgefouert gouf.

KeRanger Ransomware

De KeRanger ransomware funktionnéiert d'Majoritéit vu Ransomware, duerch Verschlësselung vun Dateen op Ärem Mac, a verdingt dann d'Bezuelung; an dësem Fall, an der Form vun enger Bitcoin (aktuell $ 400), fir Iech mat de Verschlësselungsschlëssel fir Är Fichieren ze restauréieren.

De KeRanger ransomware ass installéiert duerch den Compromiss Getrëtt Installer. De Installateur mécht e gültege Mac App-Developer Certificat, fir datt d'Installatioun vun der Ransomware laanscht OS X Gatekeeper Technologie fléien , déi d'Installatioun vu Malware op de Mac verhënneren.

Eemol un installéiert ass KeRanger op eng Kommunikatioun mat engem Remote Server op dem Tor Netz. Et ass fir dräi Deeg schlofen. Eemol erënnert, KeRanger kritt de Verschlësselungsschlëssel vun der Fernsehsendung an ass weider fir Dateien op den infizéierte Mac ze verschlësselen .

D'Dateie verschlësselt gehéieren déi am Ordner / Users, déi zu de meeschte Benotzer ze ginn op de infizéierte Mac verschlësselt a net benotzbar sinn. Zousätzlech bericht d'Palo Alto Networks datt den / Volumes Ordner, déi den Mountpunkt fir all zougebaute Speichervorräiche, lokal an an Ärem Netz, ass och e Target.

Zu dëser Zäit gëtt et gemëscht Informatiounen iwwer Time Machine-Backupen, déi duerch KeRanger verschlësselt sinn, awer wann de / Volumes Ordner zielt, sinn ech kee Grond, firwat e Time Machine-Drive net verschlësselt wier. Meng Schätzung ass dass KeRanger sou e neie Stéck Ransomware ass, datt d'gemëschte Rapporten iwwert Time Machine einfach en Fehler am Ransomware Code sinn; heiansdo funktionnéiert et, heiansdo ass et net.

Apple reagéiert

Palo Alto Networks bericht de KeRanger ransomware un Apple an Transmission. Béid reagéiert séier Apple huet den Mac App-Developer Certificate revoked benotzt vun der App, sou datt Gatekeeper erlaabt eng weider Installatioun vun der aktueller Versioun vum KeRanger ze stoppen. Apple huet och den XProject Signaturen aktualiséiert, fir datt de OS X Malware Prevent System fir KeRanger z'ënnerstëtzen an d'Installatioun ze vermeiden, och wann GateKeeper opgeléist gëtt oder fir eng kleng Sécherheet geännert ass.

Transmission entfernt Transmissioun 2.90 aus hirer Websäit an huet séier eng saubere Versioun vun Transmission, mat enger Versionsnummer vun 2,92. Mir kënnen och ugeholl, datt se kucken an wéi hir Websäit kompromittéiert an Moossnahmen geholl huet, fir datt et net méi geschitt ass.

Wéi schécken ech KeRanger

Vergiesst net, downloadéiert a installéiert d'infizéiert Versioun vun der Transmission App ass am Moment déi eenzeg Manéier fir KeRanger ze kréien. Wann Dir keng Transmissioun benotzt, musst Dir am Moment keng Suergen iwwer KeRanger maachen.

Sou laang du KeRanger nach net de Mac seng Fichier verschlësselt hutt, hues du Zäit fir d'App ze läschen an ze verhënneren datt d'Verschlësselung ufänkt. Wann Är Mac 's Dateien scho verschlësselt sinn, ett net vill Dir kënnt ausser d'Hoffnung datt Är Backups net verschlësselt sinn. Dëst weist op e ganz gudde Grond fir eng Backup-Drive ze hunn déi net ëmmer mat Ärem Mac verbonne gëtt. Als Beispill benotzt ech Carbon Copy Cloner fir e Weekend Klon vun mengen Mac ze maachen . De Fuerentelhausgebai deen Klon net op mein Mac agefouert ass bis et fir de Klonageprozess gebraucht gëtt.

Wann ech an eng Ransomware Situatioun gefall hat, konnt ech mech erëmfonnt hunn andeems se vum wöchentlechen Klon erëm restauréiert ginn. Déi eenzeg Strof fir de wöchentleche Klon ass mat Fichieren déi bis zu enger Woch réckgängeg sinn, awer dat ass vill besser wéi wann Dir e klenge Noutfall krankert.

Wann Dir Iech an der onglécklecher Situatioun vu KeRanger gedréckt huet, déi hir Trap scho gefuer ass, weess ech net wéi et net ausginn oder entweder den Ransom bezuele oder den OS X reloadéiere mat engem klenge Montage .

Gitt Transmission

Den Finder navigéieren an / Uwendungen.

Gitt d'Transmissions App, a klickt just op d'Ikon.

Vu vum Pop-up Menü select Mennt Package Inhalt.

An der Finder-Fënster, déi geöffnet ass, navigéieren / Inhalt / Ressourcen /.

Kuckt dofir e Fichier mat General.rtf.

Wann d'General.rtf-Datei existéiert, hutt Dir eng infizéiert Versioun vun Transmissioun installéiert. Wann d'Ofrüstung App läuft, verlëschen déi App, ziehen se an de Müll, a leeë dann den Trash.

KeRanger fuert

Start Aktivitéitsmonitor , deen an / Applikatiounen / Utilities gesitt.

Aktivéiert am Aktivitéitsmonitor den CPU Tab.

Gitt op den Aktiviséierungsfeld an de folgende Beräicher:

kernel_service

a dréckt dann zréck zréck.

Wann de Service existéiert, gëtt et an der Aktivitéitschaaft.

Wann Dir maacht, klickt op den Prozessnumm am Aktivitéitsmonitor.

An der geöffnender Fënster klickt d'Open Dateien an d'Ports Schaltfläch.

Maacht e Notiz vum Kernel_service WeeName; et wäert Iech wahrscheinlech eppes sinn:

/ Usern / Homefoldername / Library / kernel_service

Wielt d 'Datei an klickt duerno op de Button dréckt.

Gidd d'Wieder fir d' Kernel_time a kernel_complete Servicenamen.

Obwuel Dir d'Servicer innerhalb Activity Monitor verluer hutt, musst Dir d'Dateien vun Ärem Mac läschen. Fir dat ze maachen, benotzt d'Fichierpfennegnumm déi Dir ugewise kritt hutt fir nei kernel_service, kernel_time a kernel_complete Dateien ze navigéieren. (Note: Dir hutt all dës Fichier mat Ärem Mac unzefroen.)

Well déi Dateien déi Dir braucht fir ze läschen, sinn an Ärem Bibliothéistafel vun Ärem Ordner lokaliséiert, musst Dir dës Spezialfäegersichtbar maachen. Dir kënnt Instruktiounen fir dës Saach am OS X installéieren .

Wann Dir den Zougang zum Bicherverwaltung hutt, liesen d'uewe genannten Dateien z'iwwersetzen, andeems se se an den Trash zougoen, a klickt just op den eidelem Symbol an Auswielen Empty Trash.