Palo Alto Networks Ransomware Hedefleme Macs keşfeder
4 Mart 2016'da, tanınmış bir güvenlik firması olan Palo Alto Networks, popüler Mac BitTorrent istemcisi olan Transmission'ı etkileyen KeRanger fidye yazılımını keşfetti. Gerçek kötü amaçlı yazılım, İletim sürümü 2.90 için yükleyici içinde bulundu.
İletim web sitesi, virüs bulaşan yükleyiciyi hızla geri aldı ve İletim'in KeRanger'den arındırılmış olduğu doğrulanmış olan 2.92 sürümüne güncellemek üzere İletim 2.90'ı kullanan herkesi çağırıyor.
İletim, virüslü yükleyicinin kendi web sitesinde nasıl barındırılabileceğini ve Palo Alto Ağlarının İletim sitesinin nasıl ele geçirileceğini belirleyemediğini tartışmamıştır.
KeRanger Ransomware
KeRanger Ransomware en ransomware gibi çalışır, Mac'inizdeki dosyaları şifreleyerek ve daha sonra ödeme talep ederek; Bu durumda, dosyalarınızı kurtarmak için şifreleme anahtarı sağlamak için bir bitcoin (şu anda yaklaşık 400 $ değerinde) şeklinde.
KeRanger Ransomware, güvenliği ihlal edilmiş Şanzıman yükleyici tarafından yüklenir. Yükleyici geçerli bir Mac uygulama geliştirici sertifikası kullanıyor ve ransomware'in Mac OS'de kötü amaçlı yazılımların yüklenmesini engelleyen OS X'in Gatekeeper teknolojisini geçmesini sağlıyor.
Kurulduktan sonra, KeRanger Tor ağında bir uzak sunucu ile iletişim kurar. Daha sonra üç gün uyur. Uyandığında, KeRanger uzak sunucudan şifreleme anahtarını alır ve virüslü Mac'te dosyaları şifrelemek için ilerler .
Şifrelenen dosyalar arasında / Users klasöründe bulunanlar bulunur; bu da virüs bulaşan Mac'deki kullanıcı dosyalarının çoğunun şifreli olmasına ve kullanılamamasına neden olur. Ayrıca Palo Alto Networks, hem yerel hem de ağınızdaki tüm bağlı depolama aygıtları için bağlama noktasını içeren / Volumes klasörünün de bir hedef olduğunu bildiriyor.
Şu anda, KeRanger tarafından şifrelenen Time Machine yedeklemeleri hakkında karışık bilgiler var, ancak / Volumes klasörü hedeflendiyse, Time Machine sürücüsünün şifrelenmemesi için bir neden göremiyorum. Tahminimce KeRanger fidye yazılımı gibi yeni bir parça olan Time Machine ile ilgili karışık raporların sadece fidye kodundaki bir hata olduğunu; bazen çalışır ve bazen olmaz.
Apple tepkileri
Palo Alto Networks, KeRanger fidye yazılımını hem Apple hem de Transmission'a bildirdi. Her ikisi de hızlı bir şekilde tepki gösterdi; Apple, uygulamanın kullandığı Mac uygulama geliştirici sertifikasını iptal etti ve böylece Gatekeeper'in KeRanger'in mevcut sürümünün diğer yüklemelerini durdurmasına izin verdi. Apple ayrıca XProject imzalarını güncelledi ve OS X kötü amaçlı yazılım önleme sisteminin KeRanger'ı tanımasını ve GateKeeper devre dışı bırakılmış olsa bile yüklemeyi engellemesini veya düşük güvenlikli bir ayar için yapılandırılmasını sağladı.
Aktarım 2.90'ı kendi web sitesinden kaldırdı ve 2.92'lik bir versiyon numarası ile Transmission'ın temiz bir versiyonunu yeniden piyasaya sürdü. Ayrıca, web sitelerinin nasıl ele geçirildiğini ve tekrar olmasını önlemek için önlemler aldıklarını da düşünebiliriz.
KeRanger nasıl kaldırılır
Unutmayın, Şanzıman uygulamasının virüslü sürümünü indirmek ve yüklemek KeRanger'i edinmenin tek yoludur. Eğer İletim kullanmıyorsanız, şu anda KeRanger hakkında endişelenmenize gerek yok.
KeRanger, Mac'inizin dosyalarını henüz şifrelemediği sürece, uygulamayı kaldırmanız ve şifrelerin oluşmasını engellemek için zamanınız vardır. Mac'inizin dosyaları zaten şifrelenirse, yedeklemelerinizin şifrelenmemiş olmalarını ummak dışında yapabileceğiniz fazla bir şey yoktur. Bu, Mac'inize her zaman bağlı olmayan bir yedekleme sürücüsüne sahip olmanın çok iyi bir nedenini işaret eder. Örnek olarak, Mac'in verilerinin haftalık klonunu yapmak için Karbon Kopya Cloner'ı kullanıyorum . Klonlama işlemi, klonlama işlemi için gerekene kadar Mac'ime takılı değil.
Eğer bir fidye yazılımına girmiş olsaydım, haftalık klondan geri kazanarak iyileşebilirdim. Haftalık klonu kullanmanın tek cezası, bir hafta öncesine kadar çıkabilen dosyalara sahip olmaktır, ancak bu, bazı fahişelerin cömert bir fidye ödemekten daha iyidir.
Eğer kendini tuzağa düşürmüş olan KeRanger'in talihsiz durumunda bulursanız, fidye ödeyerek ya da OS X'i yeniden yüklemekten ve temiz bir kurulumla baştan çıkarmanın bir yolunu bilmiyorum.
İletimi Kaldır
Finder'da / Uygulamalar'a gidin.
Aktarım uygulamasını bulun ve simgesine sağ tıklayın.
Açılır menüden Paket İçeriğini Göster'i seçin.
Açılan Finder penceresinde, / Contents / Resources / sayfasına gidin.
General.rtf etiketli bir dosya arayın.
General.rtf dosyası varsa, bulaşmış bir İletim sürümü yüklü. İletim uygulaması çalışıyorsa, uygulamadan çıkın, çöp kutusuna sürükleyin ve ardından çöp kutusunu boşaltın.
KeRanger çıkarmak
/ Applications / Utilities'de bulunan Activity Monitor'ü başlatın .
Etkinlik İzleyicisi'nde, CPU sekmesini seçin.
Etkinlik İzleyicisi'nin arama alanında, aşağıdakileri girin:
kernel_serviceve ardından geri dönün.
Hizmet varsa, Activity Monitor'ün penceresinde listelenir.
Varsa, Etkinlik İzleyicisi'nde işlem adını çift tıklayın.
Açılan pencerede, Açık Dosyaları ve Bağlantı Noktaları düğmesini tıklayın.
Kernel_service yol adını not edin; muhtemelen böyle bir şey olacak:
/ Kullanıcılar / homefoldername / Library / kernel_serviceDosyayı seçin ve ardından Çık düğmesini tıklayın.
Yukarıdaki kernel_time ve kernel_complete hizmet adları için tekrarlayın.
Etkinlik İzleyicisi'nde hizmetlerden ayrılmanıza rağmen, dosyaları Mac'inizden de silmeniz gerekir. Bunu yapmak için, kernel_service, kernel_time ve kernel_complete dosyalarına gitmek için not aldığınız dosya yol adlarını kullanın. (Not: Bu dosyaların tümü Mac'inizde bulunmayabilir.)
Silmeniz gereken dosyalar, ana klasörünüzün Kitaplık klasöründe bulunduğundan, bu özel klasörü görünür hale getirmeniz gerekir. Bunun nasıl yapılacağı ile ilgili talimatları OS X Kitaplığınızın Klasörünü Gizleme makalesinde bulunabilir.
Kitaplık klasörüne eriştikten sonra, yukarıda belirtilen dosyaları çöp kutusuna sürükleyerek, ardından çöp kutusu simgesini sağ tıklayıp Çöp Kutusunu Boşalt'ı seçerek silin.