W dniu 4 marca 2016 r. Palo Alto Networks, znana firma ochroniarska, opublikowała swoje odkrycie ransomware KeRanger infekującego transmisję, popularnego klienta Mac BitTorrent. Rzeczywiste złośliwe oprogramowanie zostało znalezione w instalatorze dla Transmission w wersji 2.90.
Strona internetowa Transmission szybko usunęła zainfekowany instalator i zachęca każdego, kto używa Transmission 2.90 do aktualizacji do wersji 2.92, która została zweryfikowana przez Transmission, aby była wolna od KeRanger.
Transmisja nie omawiała sposobu, w jaki zainfekowany instalator mógł być hostowany na swojej stronie internetowej, ani też Palo Alto Networks nie był w stanie określić, w jaki sposób została naruszona strona Transmission.
KeRanger Ransomware
Ransomware KeRanger działa jak większość oprogramowania ransomware, szyfrując pliki na komputerze Mac, a następnie żądając zapłaty; w tym przypadku w postaci bitcoina (obecnie wycenionego na około 400 USD), aby zapewnić klucz szyfrowania do odzyskania plików.
Oprogramowanie ransomware KeRanger jest instalowane przez skompresowany instalator transmisji. Instalator używa ważnego certyfikatu programisty aplikacji Mac, umożliwiającego instalację oprogramowania ransomware do przejścia przez technologię Gatekeeper w systemie OS X, która uniemożliwia instalację złośliwego oprogramowania na komputerze Mac.
Raz zainstalowany, KeRanger nawiązuje komunikację ze zdalnym serwerem w sieci Tor. Następnie kładzie się spać na trzy dni. Po przebudzeniu KeRanger odbiera klucz szyfrujący ze zdalnego serwera i przystępuje do szyfrowania plików na zainfekowanym komputerze Mac.
Pliki zaszyfrowane obejmują te w folderze / Users, co powoduje, że większość plików użytkowników zainfekowanego komputera Mac jest szyfrowana i nie nadaje się do użytku. Ponadto Palo Alto Networks zgłasza, że celem jest również folder / Volumes, który zawiera punkt podłączenia wszystkich podłączonych urządzeń pamięci masowej, zarówno lokalnych, jak i w sieci.
W tej chwili istnieją mieszane informacje dotyczące tworzenia kopii zapasowych Time Machine zaszyfrowanych przez KeRanger, ale jeśli folder / Volumes jest celem, nie widzę powodu, dla którego dysk z programem Time Machine nie byłby szyfrowany. Domyślam się, że KeRanger jest tak nowym elementem oprogramowania ransomware, że mieszane raporty o Time Machine są po prostu błędem kodu ransomware; czasami działa, a czasami nie.
Reakcje Apple
Palo Alto Networks zgłosiło ransomware KeRanger zarówno do Apple, jak i do Transmission. Obaj zareagowali szybko; Firma Apple unieważniła certyfikat programisty aplikacji Mac używany przez aplikację, dzięki czemu Gatekeeper może zatrzymać dalsze instalacje aktualnej wersji programu KeRanger. Apple zaktualizował także sygnatury XProject, pozwalając systemowi ochrony przed złośliwym oprogramowaniem OS X rozpoznać KeRanger i zapobiec instalacji, nawet jeśli GateKeeper jest wyłączony lub jest skonfigurowany dla ustawień o niskim poziomie bezpieczeństwa.
Transmisja usunęła Transmisję 2.90 ze swojej strony internetowej i szybko ponownie wydała czystą wersję Transmisji, o numerze wersji 2,92. Możemy również założyć, że zastanawiają się, w jaki sposób została naruszona ich strona internetowa i podjęły działania, aby temu zapobiec.
Jak usunąć KeRanger
Pamiętaj, że pobranie i zainstalowanie zainfekowanej wersji aplikacji Transmission jest obecnie jedynym sposobem na zdobycie KeRanger. Jeśli nie korzystasz z usługi Transmission, nie musisz się już martwić o KeRanger.
Tak długo, jak KeRanger nie zaszyfrował jeszcze plików Twojego Maca, masz czas, aby usunąć aplikację i zapobiec szyfrowaniu. Jeśli pliki Twojego Maca są już zaszyfrowane, niewiele możesz zrobić, oprócz nadziei, że twoje kopie zapasowe również nie zostały zaszyfrowane. Wskazuje to na bardzo dobry powód posiadania dysku kopii zapasowej, który nie zawsze jest podłączony do komputera Mac. Jako przykład używam Carbon Copy Cloner, aby stworzyć cotygodniowy klon moich danych Maca. Obudowa napędu tego klonu nie jest zamontowana na moim komputerze Mac, dopóki nie będzie potrzebna do procesu klonowania.
Gdybym znalazł się w sytuacji ransomware, mógłbym odzyskać poprzez przywrócenie z cotygodniowego klona. Jedyną karą za używanie cotygodniowego klonu jest posiadanie plików, które mogą trwać nawet tydzień, ale jest to o wiele lepsze niż opłacenie jakiegoś niegodziwego kretyna okupu.
Jeśli znajdziesz się w niefortunnej sytuacji, w której KeRanger już wyskoczył z pułapki, nie mam innego wyjścia, niż zapłacenie okupu lub przeładowanie systemu OS X i rozpoczęcie od razu czystej instalacji.
Usuń transmisję
W Finderze przejdź do opcji / Applications.
Znajdź aplikację Transmission, a następnie kliknij jej ikonę prawym przyciskiem myszy.
Z wyskakującego menu wybierz opcję Pokaż zawartość pakietu.
W otwartym oknie Findera przejdź do / Contents / Resources /.
Wyszukaj plik oznaczony jako General.rtf.
Jeśli plik General.rtf jest obecny, masz zainstalowaną zainfekowaną wersję Transmission. Jeśli aplikacja Transmisja jest uruchomiona, zamknij aplikację, przeciągnij ją do kosza, a następnie opróżnij kosz.
Usuń KeRanger
Uruchom Monitor aktywności, znajdujący się w / Applications / Utilities.
W Monitorze aktywności wybierz kartę Procesor.
W polu wyszukiwania Monitora aktywności wprowadź:
kernel_service
a następnie naciśnij return.
Jeśli usługa istnieje, zostanie wyświetlona w oknie Monitora aktywności.
Jeśli występuje, dwukrotnie kliknij nazwę procesu w Monitorze aktywności.
W oknie, które zostanie otwarte, kliknij przycisk Otwórz pliki i porty.
Zanotuj ścieżkę do pliku kernel_service; prawdopodobnie będzie to coś takiego:
/ users / homefoldername / Library / kernel_service
Wybierz plik, a następnie kliknij przycisk Zakończ.
Powtórz powyższe dla kernel_time i kernel_complete nazwy usług.
Mimo, że zamknąłeś usługi w ramach Monitora aktywności, musisz również usunąć pliki z komputera Mac. Aby to zrobić, użyj ścieżek do plików, których zapisałeś, aby przejść do plików kernel_service, kernel_time i kernel_complete. (Uwaga: możesz nie mieć wszystkich tych plików na swoim Macu.)
Ponieważ pliki, które musisz usunąć, znajdują się w folderze Biblioteki folderu domowego, musisz uczynić ten specjalny folder widocznym. Instrukcje dotyczące tego, jak to zrobić, znajdują się w artykule Ukrywanie folderu biblioteki w systemie OS X.
Po uzyskaniu dostępu do folderu Biblioteka usuń wyżej wymienione pliki, przeciągając je do kosza, klikając prawym przyciskiem myszy ikonę kosza i wybierając Opróżnij kosz.
