Palo Alto Retoj malŝaltas Ransomware-celigantajn Macojn
La 4-an de marto 2016, Palo Alto Retoj, konata sekureca firmao, publikigis sian malkovron de KeRanger ransomware infecting Transmission, la populara Mac BitTorrent-kliento. La reala malware estis trovita ene de la instalilo por Transmission versio 2.90.
La Transdira retejo rapide malkreskis la infektitan instalilon kaj instigas al iu ajn uzante Transmission 2.90 ĝisdatigi al la versio 2.92, kiu estis kontrolita per Transmission por esti libera de KeRanger.
Transdono ne diskutis kiel la infektita instalilo povis esti gastigita en sia retejo, nek Palo Alto Retoj povis determini kiel la komisiono estis kompromitita.
KeRanger Ransomware
La ransomware KeRanger funkcias kiel la plej multaj elaĉetoj faras, per kodado de dosieroj en via Mac, kaj postulanta pagon; en ĉi tiu kazo, en la formo de bitcoin (nuntempe taksita ĉirkaŭ $ 400) por provizi al vi la ĉifran ŝlosilon por rekuperi viajn dosierojn.
La ransomware de KeRanger estas instalita de la kompromisita Transsendilo. La instalilo uzas validan aplikilon de programisto de Mac, permesante ke la instalado de ransomware flugas pasinte la teknologion de la X-Pordejo de VIN-X , kiu malhelpas la instaladon de malware en la Mac.
Fojo instalita, KeRanger starigas komunikadon kun izolita servilo en la Reto. Ĝi tiam dormas dum tri tagoj. Fojo kiu vekas, KeRanger ricevas la klavan ŝlosilon de la malproksima servilo kaj progresas por kodi dosierojn en la infektita Mac.
La dosieroj koditaj inkluzivas tiujn en la dosierujo / Uzantoj, kiuj rezultigas la plej multajn uzantajn dosierojn en la infektita Mac iranta ĉifrita kaj ne utilebla. Krome, Palo Alto Retoj informas, ke la dosierujo / Volumoj, kiu enhavas la monto-punkton por ĉiuj kunservitaj aparatoj, ambaŭ lokaj kaj sur via reto, ankaŭ estas celo.
En ĉi tiu tempo, ekzistas miksitaj informoj pri Time Machine-rezervoj, kiuj estas ĉifrititaj de KeRanger, sed se la dosierujo / Volumoj estas celita, mi vidas neniun kialon, kial Time Machine-drive ne estus ĉifrita. Mia konjektas, ke KeRanger estas tia nova peco de ransomware, ke la miksitaj raportoj pri Time Machine estas simple eraro en la ransomware-kodo; Foje ĝi funkcias, Kaj foje ĝi ne.
Apple Reagas
Palo Alto Retoj raportis la Keranĝan retumaron al Apple kaj Transsendo. Ambaŭ reagis rapide; Apple revokis la aplikilon de programisto de la programo Mac uzata de la programo, tial permesante Gatekeeper halti pliajn instalaĵojn de la aktuala versio de KeRanger. Apple ankaŭ ĝisdatigis la protokolojn de XProject, permesante la sistemon de antaŭzorgo de malware por OS X rekoni KeRanger kaj malhelpi la instaladon, eĉ se GateKeeper estas malŝaltita, aŭ estas agordita por malsupera sekureco.
Transdono forigis Transmission 2.90 el sia retejo kaj rapide ree publikigis pura versio de Transsendo, kun versio nombro de 2.92. Ni ankaŭ povas supozi, ke ili rigardas kiel ilia retejo estis kompromitita, kaj prenante mezurojn por eviti ke ĝi okazu denove.
Kiel Forigi KeRanger
Memoru, malŝarĝi kaj instali la infektitan version de la Transdono-programo estas nuntempe la sola maniero por akiri KeRanger. Se vi ne uzas Transdonon, vi nun ne bezonas zorgi pri KeRanger.
Dum KeRanger ankoraŭ ne ĉifris viajn dosierojn de Mac, vi havas tempon forigi la programon kaj malhelpi la ĉifradon okazi. Se la dosieroj de via Mac jam estas ĉifrita, ne multe vi povas fari escepte, ke viaj kopioj ne estis ĉifrita ankaŭ. Ĉi tio montras tre bonan kialon por havi kopion de kopio, kiu ne ĉiam estas konektita al via Mac. Kiel ekzemplo, mi uzas Carbon Copy Cloner por fari semajnan klonon de la datumoj de mia Mac . La disko loĝigas, ke tiu klono ne estas muntita sur mia Mac ĝis ĝi bezonas por la klonado.
Se mi enketis situacion de elaĉeto, mi povus rekuperi per restarigo de la semajna klono. La nura puno por uzi la semajnan klonon havas dosierojn, kiuj povus esti ĝis unu semajno sen dato, sed tio multe pli multe ol pagi iujn malprofundajn kredinojn rekompencon.
Se vi trovos vin en la malfeliĉa situacio, ke KeRanger jam ŝprucis sian kaptilon, mi tute ne scias, krom pagi la rekompencon aŭ reŝarĝi OS X kaj komenci kun pura instalado .
Forigi Transdono
En la Finder , navigu / Aplikojn.
Trovu la Transsendon, kaj tiam dekstra klaku ĝian ikon.
De la pop-up menuo, elektu Montri pakon-enhavon.
En la fenestro Finder kiu malfermas, navigu al / Enhavo / Rimedoj /.
Serĉu dosieron etikedita Ĝenerala.rtf.
Se la Ĝenerala.rtf-dosiero ĉeestas, vi havas infektitan version de Transmission instalita. Se la programo Transdono funkcias, ĉesu la appon, trenu ĝin al la rubujo, kaj tiam malplenigu la rubujon.
Forigi KeRanger
Ĵetu Activity Monitor , lokita ĉe / Aplikoj / Utilaĵoj.
En Activity Monitor, elektu la pestaña CPU.
En la kampo de serĉo de Aktiveta Monitoro, enmetu la jenajn:
kerno_ servokaj tiam premi revenon.
Se la servo ekzistas, ĝi estos listigita en la fenestro de Activity Monitor.
Se ĉeestanta, duobligu la procezan nomon en Activity Monitor.
En la fenestro, kiu malfermiĝas, alklaku la butonon Malfermi Dosierojn kaj Havenojn.
Faru noton de la kerno-servila vojo; ĝi verŝajne estos io simila al:
/ uzantoj / homefoldername / Library / kernel_serviceElektu la dosieron, kaj tiam alklaku la butonon Forigi.
Ripeti la supre por la kernel_time kaj kernel_pletaj servaj nomoj.
Kvankam vi forlasas la servojn ene de Activity Monitor, vi ankaŭ bezonas forigi la dosierojn de via Mac. Por fari tion, uzu la dosiernomajn nomojn, kiujn vi notis por navigi al la kerno_service, kernel_time, kaj kernel_plepletaj dosieroj. (Noto: Vi eble ne havas ĉiujn ĉi tiujn dosierojn ĉeestas ĉe via Mac.)
Pro tio ke la dosieroj, kiujn vi bezonas forigi, troviĝas en la dosierujo de via hejmosierujo, vi devos fari ĉi tiun specialan dosierujon videbla. Vi povas trovi instrukciojn pri kiel fari ĉi tion en la artikolo VIN Huligas Vian Bibliotekan Folderon .
Kiam vi havas aliron al la biblioteko-dosierujo, forigu la menciitajn dosierojn trenante ilin al la rubujo, tiam dekstre alklaku la rubujan ikonon kaj elektu Malplenan Ŝipon.