Palo Alto Networks Выяўляе вымагальнікаў Арыентацыя Макаў
4 сакавіка 2016 года, Palo Alto Networks, вядомая фірма бяспекі, апублікавала сваё адкрыццё KeRanger вымагальнікаў ўдзімання перадачы, папулярнага кліента Mac BitTorrent. Фактычнае шкоднасная быў знойдзены ў ўсталёўнік для перадачы версіі 2.90.
Сайт Transmission хутка знёс заражаныя ўстаноўкі і прымушае любое выкарыстанне Transmission 2.90 для абнаўлення да версіі 2.92, якая была праверана шляхам перадачы быць свабоднымі ад KeRanger.
Перадача не абмяркоўваецца, як заражаны ўсталёўнік быў у стане быць размешчаныя на вэб-сайце, не мае Palo Alto Networks былі ў стане вызначыць, як быў узламаны сайт Transmission.
KeRanger вымагальнікі
Вымагальнікі KeRanger працуюць як большасць вымагальнікаў робяць, шляхам шыфравання файлаў на Mac, а затым патрабуюць аплат; у гэтым выпадку ў выглядзе Bitcoin (у цяперашні час ацэньваецца каля $ 400), каб даць вам ключ шыфравання для аднаўлення файлаў.
KeRanger вымагальнікі ўсталёўваюцца на скампраметаваць ўсталёўшчыку перадачы. Праграма ўстаноўкі выкарыстоўвае сапраўдны Mac сертыфікат распрацоўніка прыкладання, што дазваляе ўстаноўку вымагальнікаў да пралятаюць тэхналогіі Gatekeeper OS Х , які прадухіляе ўстаноўку шкоднасных праграм на Mac.
Пасля ўстаноўкі, KeRanger ўсталёўвае сувязь з выдаленым серверам у сетцы Tor. Затым ён пераходзіць у спячы рэжым на працягу трох дзён. Пасля таго, як ён прачынаецца, KeRanger атрымлівае ключ шыфравання ад аддаленага сервера і пераходзіць шыфраваць файлы на заражаным кампутары.
Файлы, зашыфраваныя ўключаюць у тэчцы / Users, якая прыводзіць у большасці карыстацкіх файлаў на заражаным Mac становіцца зашыфраваныя і не могуць быць выкарыстаныя. Акрамя таго, Palo Alto Networks паведамляе, што тэчка / тома, які змяшчае кропку мантавання для ўсіх падлучаных прылад захоўвання дадзеных, як лакальных, так і ў сетцы, таксама з'яўляецца мішэнню.
У гэты час, ёсць змяшаная інфармацыя аб рэзервовых копій Time Machine шыфруецца з дапамогай KeRanger, але калі тэчка / Volumes прызначана, я не бачу прычын , чаму дыск Time Machine не будзе зашыфраваны. Я думаю, што KeRanger такая новая частка вымагальнікаў, што змешаныя паведамленні аб Time Machine проста памылка ў кодзе вымагальнікаў; часам гэта працуе, а часам не.
Apple, Рэагуе
Palo Alto Networks паведамілі аб вымагальнікаў KeRanger як для Apple, і перадачы. Абодва рэагавалі хутка; Apple, ануляваны сертыфікат распрацоўніка прыкладанняў Mac, які выкарыстоўваецца дадаткам, што дазваляе Gatekeeper спыніць далейшыя ўстаноўкі бягучай версіі KeRanger. Яблык таксама абнавілі подпісы XProject, дазваляючы сістэму прадухілення шкоднасных праграм OS X распазнаваць KeRanger і прадухіліць ўстаноўку, нават калі GateKeeper адключаны або настроены для ўстаноўкі нізкай бяспекі.
Перадача выдаленая Transmission 2.90 з іх сайта і хутка перавыдадзеная чыстая версія перадачы, з нумарам версіі 2.92. Мы можам таксама выказаць здагадку, што яны шукаюць таго, як быў узламаны іх вэб-сайт, а таксама прымаць меры па недапушчэнні яго паўтарэння.
Як выдаліць KeRanger
Памятаеце, што загрузка і ўстаноўка заражанай версіі прыкладання перадачы ў цяперашні час з'яўляецца адзіным спосабам набыць KeRanger. Калі вы не выкарыстоўваеце перадачу, Вы ў цяперашні час не трэба турбавацца аб KeRanger.
Пакуль KeRanger не зашыфраваныя файлы вашага Мака яшчэ, у вас ёсць час, каб выдаліць прыкладанне і прадухіліць шыфраванне узнікнення. Калі файлы вашага Мака ўжо зашыфраваныя, там не так шмат вы можаце зрабіць, акрамя як спадзяюся, што вашы рэзервовыя копіі не былі зашыфраваныя, а таксама. Гэта паказвае на вельмі добрую прычыну, якая мае рэзервовы дыск, які не заўсёды падлучаны да вашага Mac. У якасці прыкладу, я выкарыстоўваю Carbon Copy Cloner , каб зрабіць штотыднёвы клон дадзеных майго Мака . Корпус прывада, які кланаваць не ўсталяваны на маім Mac, пакуль гэта не патрабуецца для працэсу кланавання.
Калі б я сутыкнуцца з сітуацыяй, вымагальнікаў, я мог бы аднавіць шляхам аднаўлення з штотыднёвага клона. Адзіны штраф за выкарыстанне штотыднёвую клона, якія маюць файлы, якія могуць быць да аднаго тыдня з даты, але гэта нашмат лепш, чым плаціць некаторыя гнюсныя крэтын выкуп.
Калі вы знайшлі сябе ў няшчасным становішчы KeRanger, ўжо з'явіліся свае пасткі, я ня ведаю ні аднаго выхаду, акрамя як плаціць выкуп або перагрузкі OS X і пачаць спачатку з чыстай ўстаноўкі .
выдаліць Transmission
У Finder , перайдзіце ў / Applications.
Знайсці прыкладанне перадачы, а затым пстрыкніце правай кнопкай мышы па яго значку.
З ўсплываючае меню абярыце Паказаць змесціва пакета.
У акне Finder, якая адкрываецца, перайдзіце да / Contents / Resources /.
Знайдзіце файл з надпісам General.rtf.
Калі General.rtf файл прысутнічае, то ёсць інфікаваная версію усталяванай перадачы. Калі дадатак Transmission працуе, зачыніце дадатак, перацягнуць яго ў кошык, а затым ачысціць кошык.
выдаліць KeRanger
Запуск Activity Monitor , размешчаны ў / Applications / Utilities.
У Activity Monitor, абярыце ўкладку CPU.
У поле пошуку Activity Monitor, увядзіце наступнае:
kernel_serviceа затым націсніце кнопку вяртання.
Калі служба існуе, то ён будзе адлюстроўвацца ў акне Activity Monitor.
Калі прысутнічае, двойчы пстрыкніце імя працэсу ў Activity Monitor.
У якое адкрылася акне націсніце кнопку Адкрыць файлы і парты.
Запішыце на kernel_service імя шляху; гэта, верагодна, будзе нешта накшталт:
/ Карыстальнікаў / homefoldername / Library / kernel_serviceВыберыце файл, а затым націсніце кнопку Quit.
Паўтарыце вышэй для kernel_time і kernel_complete імёнаў службаў.
Хаця вы кідаеце паслугі ў рамках Activity Monitor, вам таксама неабходна выдаліць файлы з вашага Mac. Для гэтага выкарыстоўвайце шляху доступу да файлаў, якія Вы зрабілі да ведама, каб перайсці да kernel_service, kernel_time і kernel_complete файлаў. (Заўвага: Вы не можаце мець усе гэтыя файлы, прысутныя на вашым Mac.)
Бо файлы, якія неабходна выдаліць, знаходзяцца ў тэчцы Library вашай хатняй тэчкі, вы павінны будзеце зрабіць гэта спецыяльная тэчка бачная. Вы можаце знайсці інструкцыі аб тым , як гэта зрабіць у OS X хаваецца Ваша бібліятэка тэчак артыкула.
Калі ў вас ёсць доступ да тэчцы бібліятэкі, выдаліць вышэйзгаданыя файлы шляхам перацягвання іх у кошык, а затым правай кнопкай мышы на значок кошыка, і выбраўшы пункт Ачысціць кошык.