Palo Alto Networks uppgötvar Ransomware Miðun Macs
Hinn 4. mars 2016 tilkynnti Palo Alto Networks, vel þekkt öryggisfyrirtæki, uppgötvun þess að KeRanger ransomware smitað sendingu, vinsælasta Mac BitTorrent viðskiptavinurinn. Raunverulegur malware fannst innan uppsetningarforritið fyrir sendingarútgáfu 2.90.
Sendingarsíðan fór fljótt niður sýktum embætti og hvetur neinn sem notar sendingu 2,90 til að uppfæra í útgáfu 2.92, sem hefur verið staðfest af Sending til að vera laus við KeRanger.
Sending hefur ekki rætt um hvernig sýktum embætti var hægt að hýsa á heimasíðu sinni, né hefur Palo Alto Networks tekist að ákvarða hvernig sendingarstöðin hafi verið í hættu.
KeRanger Ransomware
KeRanger ransomware virkar eins og flestir ransomware gerir, með því að dulrita skrár á Mac, og þá krefjast greiðslu; í þessu tilfelli, í formi bitcoin (nú metið í kringum $ 400) til að veita þér dulkóðunarlykilinn til að endurheimta skrárnar þínar.
KeRanger ransomware er sett upp af málamiðlun sendibúnaðarins. Uppsetningarforritið notar gilt Mac forrit forritara, sem gerir uppsetningu ransomware kleift að fljúga yfir Gatekeeper tækni OS X , sem kemur í veg fyrir uppsetningu malware á Mac.
Einu sinni sett upp, setur KeRanger upp samskipti við ytri miðlara á Tor netinu. Það fer síðan að sofa í þrjá daga. Þegar það vaknar, fær KeRanger dulkóðunarlykilinn frá ytri miðlara og heldur áfram að dulrita skrár á smita Mac.
Skráin sem dulkóðuð eru innihalda þau í möppunni / Notendur, sem leiðir til þess að flestir notendaskrár á smita Mac verða dulritaðar og ekki nothæfar. Í samlagning, Palo Alto Networks skýrslur að / Volumes mappa, sem inniheldur fjall benda fyrir öll tengd geymsla tæki, bæði staðbundin og á netinu þínu, er einnig markmið.
Á þessum tíma eru blönduð upplýsingar um Time Machine öryggisafrit sem dulkóðuð eru af KeRanger, en ef / Folder mappan er miðuð, sjá ég engin ástæða fyrir því að Time Machine drif myndi ekki vera dulkóðuð. Mín giska er að KeRanger er svo nýtt ransomware að blandað skýrslur um Time Machine eru einfaldlega galla í ransomware kóða; stundum virkar það, og stundum er það ekki.
Apple bregst við
Palo Alto Networks tilkynnti KeRanger ransomware til bæði Apple og sendingar. Báðir bregðast hratt við; Apple afturkallaði forritið Mac app forritara sem forritið notar, þannig að Gatekeeper geti stöðvað frekari innsetningar núverandi útgáfu KeRanger. Apple uppfærði einnig XProject undirskrift, sem leyfir OS X malware forvarnir að viðurkenna KeRanger og koma í veg fyrir uppsetningu, jafnvel þótt GateKeeper sé óvirkt eða er stillt fyrir lágmark öryggis stillingu.
Sendingin fjarlægði sendingu 2.90 frá vefsíðunni sinni og endurútgáfu fljótt hreint útgáfu sendingarinnar með útgáfu númeri 2.92. Við getum líka gert ráð fyrir að þeir séu að skoða hvernig vefsvæðið þeirra var málamiðlun og gera ráðstafanir til að koma í veg fyrir að það gerist aftur.
Hvernig á að fjarlægja KeRanger
Mundu að niðurhal og uppsetningu sýktar útgáfu sendingarforritsins er nú eina leiðin til að afla KeRanger. Ef þú notar ekki sendingu þarftu ekki að hafa áhyggjur af KeRanger.
Svo lengi sem KeRanger hefur ekki dulkóðuð skrár Mac þinn ennþá, þá hefurðu tíma til að fjarlægja forritið og koma í veg fyrir að dulkóðunin birtist. Ef skrár Mac þinnar eru nú þegar dulkóðaðar, þá er það ekki mikið sem þú getur gert nema vona að afritin þín hafi ekki verið dulkóðuð eins og heilbrigður. Þetta bendir á mjög góðan ástæðu fyrir að hafa öryggisafrit sem er ekki alltaf tengt við Mac þinn. Sem dæmi notar ég Carbon Copy Cloner til að búa til vikulega klón af gögnum Mac minn . The drif húsnæði sem klón er ekki fest á Mac minn þar til það er þörf fyrir klónun aðferð.
Ef ég hefði lent í ransomware ástandi, hefði ég getað náð mér með því að endurheimta frá vikulega klóninu. Eina refsingin fyrir að nota vikulega klóninn er að hafa skrár sem gætu verið allt að einum vikum úrelt, en það er miklu betra en að borga nokkra hræðilegu cretin lausnargjalds.
Ef þú finnur þig í óheppilegu ástandi KeRanger, þegar þú hefur þegar sprungið gildru sína, veit ég ekkert nema annað en að greiða lausnargjaldið eða endurhlaða OS X og hefst með hreinu uppsetningu .
Fjarlægja sendingu
Í Finder skaltu fara í / Forrit.
Finndu sendingarforritið, og smelltu síðan á hægri táknið.
Í sprettivalmyndinni, veldu Show Package Contents.
Í Finder glugganum sem opnast skaltu fara á / Efnisyfirlit / Resources /.
Leitaðu að skrá sem merktur er General.rtf.
Ef General.rtf skráin er til staðar hefur þú smita útgáfu af Sending sett upp. Ef sendingarforritið er í gangi skaltu hætta forritinu, draga það í ruslið og tæma ruslið.
Fjarlægja KeRanger
Opnaðu Virkni Skjár , staðsett í / Forrit / Utilities.
Í verkefnisskjánum skaltu velja CPU flipann.
Sláðu inn eftirfarandi í leitarsviði verkefnisins:
kernel_serviceog ýttu svo á aftur.
Ef þjónustan er til staðar verður hún skráð í glugganum við Activity Monitor.
Ef til staðar, tvöfaldur-smellur the aðferð nafn í Activity Monitor.
Í glugganum sem opnast skaltu smella á Open Files og Ports hnappinn.
Skrifa athugasemd við kjarnanafnið á kerfisþjónustunni; það mun líklega vera eitthvað eins og:
/ notendur / heimasíða / Library / kernel_serviceVeldu skrána og smelltu síðan á hætta hnappinn.
Endurtaktu ofangreint fyrir nöfn kernel_time og kernel_complete þjónustunnar.
Þó að þú hættir þjónustunni innan Activity Monitor, þá þarftu einnig að eyða skrám úr Mac þinn. Til að gera það skaltu nota skráarslóðin sem þú hefur tekið eftir til að fletta að kernel_service, kernel_time og kernel_complete skrám. (Athugið: Ekki er víst að allar þessar skrár séu til staðar á Mac þinn.)
Þar sem skrárnar sem þú þarft að eyða eru staðsettar í möppunni Bókasafn möppunnar þarftu að gera þessa sérstaka möppu sýnileg. Þú getur fundið leiðbeiningar um hvernig á að gera þetta í OS X er að fela bókasafnsmöppuna þína .
Þegar þú hefur aðgang að möppunni Bókasafn skaltu eyða ofangreindum skrám með því að draga þau í ruslið, þá hægrismella á ruslstáknið og velja Tóm ruslið.