4 марта 2016 года известная охранная фирма Palo Alto Networks опубликовала свое открытие секретной утилиты KeRanger, заражающей передачу, популярный клиент Mac BitTorrent. Фактическое вредоносное ПО было обнаружено в установщике для версии 2.90 передачи.
Веб-сайт «Передача» быстро уничтожил зараженного установщика и настоятельно призывает всех, кто использует Transmission 2.90, обновить версию 2.92, которая была проверена Transmission, чтобы быть свободным от KeRanger.
Передача не обсуждала, как зараженный установщик мог быть размещен на своем веб-сайте, и Palo Alto Networks не смогла определить, как был скомпрометирован сайт передачи.
KeRanger Ransomeware
Выпущенное программное обеспечение KeRanger работает так же, как и большинство вымогательств, путем шифрования файлов на вашем Mac, а затем требуя оплаты; в этом случае в виде биткойна (в настоящее время оценивается около $ 400), чтобы предоставить вам ключ шифрования для восстановления ваших файлов.
Программное обеспечение KeRanger ransomware устанавливается скомпрометированным установщиком передачи. Установщик использует действительный сертификат разработчика Mac-приложений, позволяющий устанавливать ransomware для прохождения мимо технологии Gatekeeper OS X, которая предотвращает установку вредоносных программ на Mac.
После установки KeRanger устанавливает связь с удаленным сервером в сети Tor. Затем он ложится спать три дня. Когда он пробуждается, KeRanger получает ключ шифрования с удаленного сервера и переходит к шифрованию файлов на зараженном Mac.
Зашифрованные файлы включают те, которые находятся в папке / Users, что приводит к тому, что большинство пользовательских файлов на зараженном Mac становятся зашифрованными и непригодными для использования. Кроме того, Palo Alto Networks сообщает, что папка / Volumes, содержащая точку подключения для всех подключенных устройств хранения данных, как локальных, так и в вашей сети, также является целью.
В настоящее время существует смешанная информация о резервных копиях Time Machine, которые шифруются KeRanger, но если целевая папка / Volumes нацелена, я не вижу причин, по которым диск Time Machine не будет зашифрован. Я предполагаю, что KeRanger - это такая новая часть выкупов, что смешанные сообщения о Time Machine просто являются ошибкой в коде выкуса; иногда это работает, и иногда это не так.
Apple реагирует
Компания Palo Alto Networks сообщила о выпуске программного обеспечения KeRanger как для Apple, так и для передачи. Оба быстро реагировали; Apple отменила сертификат разработчика приложений Mac, используемый приложением, что позволяет Gatekeeper останавливать дальнейшие установки текущей версии KeRanger. Apple также обновила подписи XProject, позволяя системе предотвращения вредоносных программ OS X распознавать KeRanger и предотвращать установку, даже если GateKeeper отключен или настроен для настройки с низкой степенью защиты.
Передача удалена Передача 2.90 со своего веб-сайта и быстро переиздана чистая версия Передачи с номером версии 2.92. Мы также можем предположить, что они изучают, как их сайт был скомпрометирован, и принятия мер, чтобы предотвратить его повторение.
Как удалить KeRanger
Помните, что загрузка и установка зараженной версии приложения «Передача» в настоящее время является единственным способом приобретения KeRanger. Если вы не используете Трансмиссию, вам не нужно беспокоиться о KeRanger.
Пока KeRanger еще не зашифровал ваши файлы Mac, у вас есть время для удаления приложения и предотвращения его шифрования. Если файлы Mac уже зашифрованы, вы не можете сделать ничего, кроме надежды, что ваши резервные копии также не были зашифрованы. Это указывает на очень вескую причину наличия резервного диска, который не всегда подключен к вашему Mac. В качестве примера я использую Cloner Carbon Copy, чтобы сделать еженедельный клон данных моего Mac. Корпус привода, клон которого не установлен на моем Mac, пока он не понадобится для процесса клонирования.
Если бы я столкнулся с ситуацией с вымогательством, я бы восстановился, восстановив его из еженедельного клона. Единственное наказание за использование еженедельного клона - это файлы, которые могут быть до одной недели устаревшими, но это намного лучше, чем заплатить какой-то гнусный cretin выкуп.
Если вы окажетесь в неудачной ситуации, когда KeRanger уже запустил свою ловушку, я не знаю выхода, кроме как заплатить выкуп или перезагрузить OS X и начать с чистой установки.
Удалить трансмиссию
В Finder перейдите в / Applications.
Найдите приложение «Передача», а затем щелкните его значок правой кнопкой мыши.
Во всплывающем меню выберите «Показать содержимое пакета».
В открывшемся окне Finder перейдите в / Contents / Resources /.
Найдите файл с надписью General.rtf.
Если файл General.rtf присутствует, у вас установлена зараженная версия передачи. Если приложение «Передача» запущено, закройте приложение, перетащите его в корзину и удалите мусор.
Удалить KeRanger
Монитор активности запуска, расположенный в / Applications / Utilities.
В Activity Monitor выберите вкладку CPU.
В поле поиска Activity Monitor введите следующее:
kernel_service
и затем нажмите return.
Если служба существует, она будет указана в окне Activity Monitor.
Если присутствует, дважды щелкните имя процесса в Activity Monitor.
В открывшемся окне нажмите кнопку «Открыть файлы и порты».
Запишите путь kernel_service; это, скорее всего, будет выглядеть примерно так:
/ Пользователей / homefoldername / Library / kernel_service
Выберите файл и нажмите кнопку «Выход».
Повторите вышеприведенное для kernel_time а также kernel_complete имена служб.
Несмотря на то, что вы покинули службы в Activity Monitor, вам также необходимо удалить файлы с вашего Mac. Для этого используйте имена файлов, которые вы указали для перехода к файлам kernel_service, kernel_time и kernel_complete. (Примечание. Возможно, у вас нет всех этих файлов на вашем Mac.)
Так как файлы, которые нужно удалить, находятся в папке «Библиотека» вашей домашней папки, вам нужно сделать эту специальную папку видимой. Вы можете найти инструкции по тому, как это сделать в статье X X Скрывает вашу папку с библиотекой.
Как только вы получите доступ к папке «Библиотека», удалите вышеупомянутые файлы, перетащив их в корзину, затем щелкнув правой кнопкой мыши значок корзины и выбрав «Очистить корзину».
