KeRanger: First Mac Ransomware در وحشی کشف شد

پالو آلتو شبکه ها می بیند که هدف قرار دادن رایانه ها برای مکینتاش است

در 4 مارس سال 2016 شرکت Palo Alto Networks، یک شرکت امنیتی شناخته شده، کشف KeRanger ransomware Infecting Transmission، محبوب Mac BitTorrent را منتشر کرد. بدافزار واقعی در نصب برای نسخه 2.90 یافت شد.

وب سایت Transmission به سرعت نصب کننده آلوده را کاهش داده و هر کسی را که از انتقال 2.90 استفاده می کند به روز رسانی می کند تا نسخه 2.92، که توسط Transmission تایید شده از KeRanger تایید شده است.

انتقال در مورد چگونگی نصب برنامه آلوده قادر به میزبانی در وب سایت خود نیست، و همچنین Palo Alto Networks قادر به تعیین اینکه چگونه سایت انتقال به خطر افتاده است.

KeRanger Ransomware

ransomware KeRanger به عنوان بیشتر ransomware کار می کند، با رمزگذاری فایل ها بر روی مک خود، و سپس درخواست پرداخت؛ در این مورد، در قالب یک بیت کوین (که در حال حاضر حدود 400 دلار ارزش دارد) برای ارائه کلید رمز برای بازیابی فایل های شما.

Ransomware KeRanger توسط Installer Transmission نصب شده نصب شده است. نصب کننده از گواهی معتبر توسعه دهنده برنامه مک استفاده می کند، اجازه نصب نصب ransomware را می دهد تا از تکنولوژی Gatekeeper گذشته از OS X جلوگیری کند که مانع نصب نرم افزارهای مخرب روی Mac شود.

پس از نصب، KeRanger راه اندازی ارتباط با یک سرور راه دور در شبکه Tor می کند. سپس سه روز به خواب می رود. هنگامی که آن را بیدار می شود، KeRanger کلید رمزگذاری را از سرور راه دور دریافت می کند و به فایل های مخرب روی مک آلوده منتقل می شود.

فایل های رمزگذاری شده شامل مواردی هستند که در پوشه / Users قرار دارند، که در نتیجه اکثر فایل های کاربر بر روی Mac مضر رمزگذاری شده و قابل استفاده نیستند. علاوه بر این، Palo Alto Networks گزارش می دهد که پوشه / Volumes، که حاوی نقطه اتصال برای تمام دستگاه های ذخیره سازی متصل است، هر دو محلی و در شبکه شما، نیز یک هدف است.

در این زمان، اطلاعات مخلوط مربوط به پشتیبان گیری ماشین Time Machine توسط KeRanger رمزگذاری می شود، اما اگر پوشه / Volumes مورد هدف قرار بگیرد، هیچ دلیلی وجود ندارد که درایو Time Machine رمزگذاری نخواهد شد. حدس من این است که KeRanger یک قطعه جدید از ransomware است که گزارش های مخلوطی درباره Time Machine به سادگی یک اشکال در کد ransomware است؛ گاهی اوقات کار می کند و گاهی اوقات این کار را نمی کند.

اپل واکنش نشان می دهد

شرکت Palo Alto Networks شرکت KeRanger را به Apple و Transmission اعلام کرد. هر دو به سرعت واکنش نشان دادند اپل گواهی توسعه دهنده مک برنامه مورد استفاده را لغو کرد، به این ترتیب Gatekeeper اجازه توقف نصب بیشتر نسخه فعلی KeRanger را داد. اپل همچنین نسخه های XProject را به روز رسانی کرد، اجازه می دهد سیستم پیشگیری از بدافزار OS X KeRanger را شناسایی کرده و از نصب جلوگیری کند، حتی اگر GateKeeper غیرفعال باشد یا برای تنظیمات امنیتی کم پیکربندی شود.

Transmission 2.90 را از وبسایت خود حذف کرد و به سرعت یک نسخه تمیز از انتقال را با شماره نسخه 2.92 منتشر کرد. ما همچنین می توانیم فرض کنیم که آنها به دنبال اینکه وب سایت خود را به خطر انداخته اند، و اقدامات لازم برای جلوگیری از وقوع دوباره آن انجام شود.

نحوه حذف KeRanger

به یاد داشته باشید، دانلود و نصب نسخه آلوده برنامه انتقال در حال حاضر تنها راه به دست آوردن KeRanger است. اگر از Transmission استفاده نکنید، در حال حاضر نیازی به نگرانی در مورد KeRanger ندارید.

تا زمانی که KeRanger هنوز فایل های مک خود را رمزگذاری نکرده است، شما هم وقت دارید که برنامه را حذف کنید و از رمزگذاری جلوگیری کنید. اگر فایل های مک شما قبلا رمزگذاری شده باشد، خیلی زیاد نیست که بتوانید انجام دهید، به جز اینکه امیدواریم پشتیبان گیری شما نیز رمزگذاری شده باشد. این نشان می دهد دلیل بسیار خوبی برای داشتن یک درایو پشتیبان است که همیشه به مک شما متصل نیست. به عنوان مثال، من از Carbon Copy Cloner برای ایجاد یک کلون هفتگی از اطلاعات مک خود استفاده می کنم . محفظه درایو که کلون بر روی مک من نصب نشده است تا زمانی که برای فرآیند شبیه سازی مورد نیاز است.

اگر من به وضعیت ransomware رفته بودم، می توانستم با بازگرداندن کلون هفتگی، بهبود پیدا کنم. تنها مجازات برای استفاده از کلون هفتگی، داشتن پرونده هایی است که می تواند تا یک هفته از تاریخ گذشته باشد، اما این بسیار بهتر از پرداخت برخی از کرم های نابکار است.

اگر شما خودتان را در موقعیت تاسف انگیز KeRanger پیدا کنید که قبلا دامنه آن را کشف کرده اید، از هیچ راهی جز صرف پرداخت یا استفاده مجدد OS X و شروع به کار با نصب پاک نمی دانم.

حذف انتقال

در یاب ، به برنامه / برنامه بروید.

برنامه انتقال را پیدا کنید و سپس آن را روی نماد آن کلیک راست کنید.

از منوی پاپ آپ انتخاب نمائید.

در پنجره Finder که باز می شود، به / Contents / Resources / بروید.

به دنبال یک فایل با نام General.rtf

اگر فایل General.rtf در دسترس باشد، شما یک نسخه آلوده از Transmission نصب کرده اید. اگر برنامه انتقال در حال اجرا است، برنامه را ترک کنید، آن را به سطل زباله بکشید، سپس سطل زباله را خالی کنید.

حذف KeRanger

راه اندازی فعالیت مانیتور ، واقع در / نرم افزار / نرم افزار.

در فعالیت مانیتور، برگه CPU را انتخاب کنید.

در قسمت جستجو در فعالیت مانیتور، موارد زیر را وارد کنید:

kernel_service

و سپس بازگشت را فشار دهید.

اگر سرویس وجود داشته باشد، آن را در پنجره فعالیت مانیتور ذکر شده است.

اگر در حال حاضر، نام پروسس را در Activity Monitor دوبار کلیک کنید.

در پنجره ای که باز می شود، روی دکمه Open Files and Ports کلیک کنید.

توجه داشته باشید که نام کاربری kernel_service است. این احتمالا چیزی شبیه به:

/ users / homefoldername / کتابخانه / kernel_service

فایل را انتخاب کنید و سپس روی دکمه خاتمه کلیک کنید.

بالا برای kernel_time و kernel_complete نام خدمات تکرار کنید.

اگرچه شما در خدمات مانیتور Activity را ترک کرده اید، همچنین باید فایل ها را از Mac خود حذف کنید. برای انجام این کار، از نامهای فایل مورد استفاده شما استفاده کنید تا به فایل kernel_service، kernel_time و kernel_complete منتقل شوید. (توجه: شما نمی توانید تمام این فایل ها را در Mac خود داشته باشید.)

از آنجا که فایلهایی که باید حذف کنید در پوشه Library Library پوشه خانه شما قرار دارند، باید این پوشه خاص را قابل مشاهده کنید. شما می توانید دستورالعمل هایی برای چگونگی انجام این کار را در OS X پنهان کردن مقاله پوشه کتابخانه خود پیدا کنید.

پس از دسترسی به پوشه Library، فایل های فوق را با کشیدن آنها به سطل زباله حذف کنید، سپس با کلیک راست بر روی آیکون سطل زباله راست کلیک کرده و گزینه Empty Trash را انتخاب کنید.