Palo Alto Networks, Ransomware Targeting Mac'leri tapır
4 Mart 2016 tarixində tanınmış bir təhlükəsizlik firması olan Palo Alto Networks, məşhur Mac BitTorrent müştərisi olan KeRanger ransomware infection Transmission adlı kəşfi yayımladı. Həqiqi malware yükləyicidə Transmission versiyası 2.90 üçün aşkar edilmişdir.
Transmissiya veb saytında tez-tez yoluxmuş yükləyiciləri aşağı saldı və ötürülməsi ilə təsdiqlənmiş versiya 2.92 versiyasını yeniləmək üçün Transmissiya 2.90-dan istifadə edərək hər kəsə müraciət etməyə çalışır.
Transmissiya yoluxmuş yükləyicinin veb saytında necə yerləşdiriləcəyini və Palo Alto Networks Şəbəkə saytının necə təhlükəli olduğunu müəyyən edə bilməməsini müzakirə etməyib.
KeRanger Ransomware
The KeRanger fidyə proqramı, ən çox fransız proqramı olaraq, Mac-də faylları şifrələmək və ödəniş tələb etməklə işləyir; bu halda, fayllarınızı bərpa etmək üçün şifreleme açarı ilə təmin etmək üçün bir bitcoin şəklində (hal-hazırda təxminən 400 dollar qiymətləndirilir).
KeRanger ransomware, təhlükəli Transmissiya yükləyicisi tərəfindən quraşdırılır. Quraşdırıcı, Mac-də malware yüklənməsinin qarşısını alan keçmiş OS X-nin Gatekeeper texnologiyasını uçmaq üçün fidyə proqramlarının quraşdırılmasına imkan verən, etibarlı Mac app geliştirici sertifikatını istifadə edir.
Yükləndikdən sonra, KeRanger Tor şəbəkəsində uzaq bir server ilə ünsiyyət qurur. Daha sonra üç gün yatmaq gedir. O oyandığı zaman, KeRanger uzaq serverdən şifrələmə düyməsini alır və yoluxmuş Mac-da faylları şifrələməyə davam edir .
Şifrələnən fayllar / İstifadəçilər qovluğunda olanlar daxildir, bu da virusa yoluxmuş Mac-da ən çox istifadəçi fayllarına şifrələnir və istifadə edilə bilməzdir. Bundan əlavə, Palo Alto Networks bildirir ki, həm yerli, həm də ağınızdakı bütün əlavə saxlama qurğuları üçün quraşdırma nöqtəsini ehtiva edən / Volumes qovluğu da bir hədəfdir.
Hal-hazırda, Time Machine backup'ları KeRanger tərəfindən şifrelenmiş olan qarışıq məlumatlar var, lakin / Volumes qovluğu hədəflənərsə, bir Time Machine sürücüsünün şifrelenmeyeceğine bir səbəb görmürəm. Mənim tahminim ki, KeRanger Time Machine ilə bağlı qarışıq hesabatlar sadəcə ransomware kodunda bir səhv olduğunu düşünən yeni bir fidyə parçasıdır; bəzən işləyir, bəzən isə yox.
Apple reaksiya verir
Palo Alto Networks, KeRanger ransomware həm Apple və Transmissiya üçün məlumat verdi. İkisi də sürətlə reaksiya verdi; Apple, app tərəfindən istifadə edilən Mac app geliştirici sertifikatını ləğv etdi, beləliklə Gatekeeper, KeRanger'in mövcud versiyasının daha çox qurğusunu dayandırmağa imkan verdi. Apple ayrıca, XP Xətti imzalamalarını yeniləyərək, OS X malware qarşısının alınması sistemini KeRanger'i tanımağa və quraşdırmanın qarşısını almasına, hətta GateKeeper aradan qaldırılsa və ya aşağı təhlükəsizlik ayarı üçün konfiqurasiya olunmasına icazə verərsə.
Transmissiya öz saytından Transmission 2.90 silinmiş və sürətlə 2.92 versiyası ilə Transmissiyanın təmiz versiyasını yenidən buraxmışdır. Biz də onların saytının necə təhlükəyə məruz qaldığını və yenidən baş verməməsinin qarşısını almaq üçün tədbirlər görürük.
KeRanger'i necə çıxarmaq olar?
Xatırladaq ki, Transmissiya proqramının yoluxmuş versiyasını yükləmək və yükləmək hazırda KeRanger'i əldə etmək üçün yeganə yoldur. Transmissiya istifadə etmirsinizsə, hazırda KeRanger haqqında narahat olmaq lazım deyil.
KeRanger hələ Mac-nin fayllarını şifrələməmiş olduğu müddətdə, proqramı silmək və şifrənin baş verməsinin qarşısını almaq üçün vaxtınız var. Mac-nin faylları artıq şifrələnmişdirsə, ehtiyat nüsxələriniz şifrələnməməyinizdən başqa çox şey edə bilərsiniz. Bu daima Mac ilə bağlı olmayan bir backup sürücüsünün olması üçün çox yaxşı bir səbəbi göstərir. Məsələn, mənim Mac məlumatlarının həftəlik klonunu etmək üçün Carbon Copy Cloner istifadə edirəm . Klonlama prosesi üçün lazım olana qədər klonun sürücüsü mənim Mac-da quraşdırıla bilməz.
Əgər bir fidyə proqramına daxil olsaydım, həftəlik klondan bərpa edilərək bərpa edə bilərdim. Həftəlik klondan istifadə etmək üçün yeganə cəza bir həftəyə qədər ola biləcək fayllar daşıyır, lakin bu, bəzi xəyanətkar krettin fidyə ödənilməsindən daha yaxşıdır.
KeRanger'in tələsik vəziyyətində özünüzü tələyə saldıqda özünüzü taparsanız, fürsət ödəməkdən və ya OS X- ni yenidən yükləmədən və təmiz yüklə başlamadan başqa heç bir yolun olmadığını bilirəm.
Transmissiyanın silinməsi
Finder'da , / Applications-ə gedin.
Transmissiya tətbiqini tapın və sonra onun simgesini sağ basın.
Açılır menyudan, Paket İçeriğini Göstər'i seçin.
Açılan Finder penceresinde / İçindekiler / Resources / səhifəsinə gedin.
General.rtf adlı bir fayl axtarın.
General.rtf faylı varsa, quraşdırılmış Transmission virusunun bir versiyası var. Transmissiya proqramı işlədilirsə, tətbiqdən çıxın, zibil qutusuna sürüşdürün və zibil qutusunu boşaltın.
KeRanger'i sil
/ Proqramlar / Kommunal xidmətlərində yerləşdirin.
Aktivlik Monitorunda, CPU sekmesini seçin.
Aktivlik İzləmə sahəsində axtarış sahəsində aşağıdakıları daxil edin:
kernel_servicesonra qayıtmaq düyməsini basın.
Xidmət mövcud olduqda, bu Aktivlik Monitorunun pəncərəsində veriləcəkdir.
Əgər varsa, Activity Monitor-da proses adını cüt basın.
Açılan pəncərədə Aç Files və Portlar düyməsini basın.
Kernel_service yol adına bir qeyd edin; ola biləcək bir şey olacaq:
/ users / homefoldername / Library / kernel_serviceFaylı seçin və Çıxış düyməsini basın.
Kernel_time və kernel_complete xidmət adları üçün yuxarıdakıları təkrarlayın.
Fəaliyyət İzləmə xidməti içərisində xidmətdən çıxsanız da, faylları Mac-dən silmək lazımdır. Bunu etmək üçün kernel_service, kernel_time və kernel_complete fayllarına keçmək üçün qeyd etdiyiniz fayl yollarını istifadə edin. (Qeyd: Mac-da bu faylların hamısı mövcud ola bilər.)
Silmək üçün lazım olan fayllar ev qovluğunun Kitabxana qovluğunda yerləşdirildikdən sonra bu xüsusi qovluğu görünməlidir. Bunu OS X -də necə edəcəyi barədə təlimatları tapa bilərsiniz.
Kitabxana qovluğuna girildikdən sonra yuxarıda qeyd olunan faylları zibil qutusuna sürükleyerek silin, sonra zibil simgesini sağa klikləyin və Çöp Kutusunu boşaltın.