Palo Alto Networks, Ransomware Targeting Mac'larni kashf qiladi
2016 yil 4 mart kuni taniqli xavfsizlik firmasi Palo Alto Networks, mashhur Makintosh BitTorrent mijozi bo'lgan KeRanger sharq dasturini yuqtirgan Transmission dasturini e'lon qildi. Haqiqiy zararli dasturiy ta'minot o'rnatish uchun 2.90 versiyasi uchun o'rnatildi.
Transmission veb-sayti tezda infektsiyani o'rnatgan dasturni pastga tushirdi va translatsiyadan Kernnerdan ozod bo'lish uchun tasdiqlangan 2.92 versiyasiga yangilash uchun Transmission 2.90 ni ishlatishni istaydi.
Transmissiya infektsiyalangan montajchilarning veb-saytida qanday joylashtirilganligi haqida ma'lumot bermadi va Palo Alto Networks Transmission saytining qanday buzilganligini aniqlay olmadi.
KeRanger Ransomware
Kreanger to'lov dasturi, ko'pincha to'lov dasturlari sifatida, Mac-da fayllarni shifrlash va keyinchalik to'lovni talab qilib ishlaydi; bu holatda fayllarni saqlab qolish uchun shifrlash kalitini ta'minlash uchun bitcoin (hozirda 400 dollar atrofida baholanadi) shaklida.
Kreanger to'lov dasturi shikastlangan Transmissiya o'rnatuvchisi tomonidan o'rnatiladi. O'rnatish vositasi Mac ilovasini ishlab chiquvchi sertifikatidan foydalanadi, bu esa to'lov dasturini Mac OS'da malware o'rnatilishiga to'sqinlik qiluvchi o'tmishdagi OS X Gatekeeper texnologiyasiga o'tishga imkon beradi.
O'rnatilganidan so'ng, KeRanger Tor tarmog'idagi uzoq server bilan aloqa o'rnatadi. Keyin uch kun uyquga ketadi. Keyin u uyg'otadi, KeRanger shifrlash kalitini uzoq serverdan oladi va fayllarni virusli kompyuterga shifrlashda davom etadi .
Shifrlangan fayllar orasida / Users papkasida joylashgan fayllar mavjud bo'lib, bu viruslarning ko'pchiligi foydalanuvchi fayllarida shifrlangan bo'lib, mavjud emas. Bunga qo'shimcha ravishda, Palo Alto Networks, mahalliy va tarmoqdagi barcha biriktiriladigan saqlash qurilmalari uchun ulash nuqtasini o'z ichiga olgan / Volumes papkasining ham maqsadga muvofiq ekanligini bildiradi.
Shu vaqt ichida, TimeRespondentining KeRanger tomonidan shifrlanganligi haqidagi aralash ma'lumotlar mavjud, ammo agar / Volume jildida maqsadli bo'lsa, men Time Machine drayveri shifrlanmasligi uchun hech qanday sabab ko'rmayapman. Mening o'ylashimcha, KeRanger Time Machine haqida aralashgan xabarlar shunchaki ransomware kodida xatolik bo'lgan yangi to'lov vositasi. ba'zan u ishlaydi va ba'zan u ishlamaydi.
Apple Reacts
Palo Alto Networks, KeRangerning to'lov dasturini "Apple" va "Transmission" ga taqdim etgan. Ikkalasi ham tezda javob berdi; Apple App tomonidan ishlatilgan Mac ilovalarini ishlab chiquvchi sertifikatini bekor qildi va shu bilan Gatekeeperga KeRangerning joriy versiyasini o'rnatishni to'xtatdi. Apple shuningdek, OS X zararli dasturlarni oldini olish tizimini KeRangerni tanib olish va hatto GateKeeper o'chirilgan bo'lsa ham, o'rnatishni to'xtatishga ruxsat beruvchi XProject imzosini yangilab, kam xavfsizlik sozlamalari uchun tuzilgan.
Transmissiya o'z saytidan 2.90-raqamli uzatishni olib tashladi va 2.92 versiya raqami bilan Transmissiyaning toza versiyasini tezda qayta tarqatdi. Shuningdek, ular o'z veb-saytlari qanday buzilganligini ko'rib chiqmoqdalar va uni qayta sodir bo'lishiga yo'l qo'ymaslik uchun choralar ko'rishadi.
KeRangerni qanday chiqarish mumkin?
Yodda tutingki, Transmission dasturining virusli versiyasini yuklab olish va o'rnatish hozirda KeRangerni sotib olishning yagona yo'li. Transmisyondan foydalanmasangiz, KeRanger haqida xavotirlanishga hojat yo'q.
Kechirasiz, KeRanger Mac-ning fayllarini shifrlamagan bo'lsa, siz ilovani olib tashlash va shifrlashning oldini olish uchun vaqtingiz bor. Agar sizning Mac fayllaringiz allaqachon shifrlangan bo'lsa, sizning zaxirangiz ham shifrlanmagan bo'lsa umid qila olmaysiz. Bu har doim sizning Mac-ga ulanmagan zaxira haydovchiga ega bo'lishning juda yaxshi sababi. Masalan, men Mac ma'lumotlarining haftalik klonini yaratish uchun Carbon Copy Cloner-dan foydalanaman . Klonlash jarayoni uchun kerak bo'lmaguncha, u klonning mahkamlagichi mening Mac-ga o'rnatilmagan.
Agar to'lov dasturiga tushib qolsam, haftalik klonni tiklash orqali tuzalib ketardim. Haftalik klonni ishlatish uchun yagona jazo, bir hafta mobaynida eskirib qolgan bo'lishi mumkin bo'lgan fayllarga ega bo'lishi mumkin, ammo bu ba'zi bir noto'g'ri kretin to'lovini to'lovdan yaxshiroqdir.
Agar siz o'zingizni tuzoqqa solgan KeRangerning baxtsizi holatida o'zingizni topsangiz, to'lovni to'lash yoki OS X-ni qayta tiklash va toza o'rnatish bilan boshlashdan boshqa yo'l yo'qligini bilaman.
Etkazishni o'chiring
Finder'da / Applications ilovasiga o'ting.
Transmission ilovasini toping va keyin uning belgisini o'ng tugmasini bosing.
Oyna menyusidan Paket tarkibini ko'rsatish-ni tanlang.
Ochilgan Finder oynasida / Contents / Resources / ga o'ting.
General.rtf yorliqli faylni qidiring.
General.rtf fayli mavjud bo'lsa, o'rnatilgan Transmission dasturining virusli versiyasi mavjud. Transmission ilovasi ishlayotgan bo'lsa, ilovadan chiqing, uni axlat qutisiga sudrab tashlang va keyin zaxirani bo'shating.
KeRangerni olib tashlang
/ Applications / Utilities ilovasida joylashgan Activity Monitor-ni ishga tushiring .
Faollik monitorida CPU yorlig'ini tanlang.
Faoliyat monitorining qidirish maydonida quyidagilarni kiriting:
kernel_serviceva keyin qaytarib bosing.
Agar xizmat mavjud bo'lsa, u holda Faoliyat monitorining oynasida ko'rsatiladi.
Agar mavjud bo'lsa, Activity Monitor da jarayon nomini ikki marta bosing.
Ochilgan oynada Open Files and Ports tugmasini bosing.
Kernel_service yo'lning nomini yozing; ehtimol shunday bo'ladi:
/ foydalanuvchilar / homefoldername / Library / kernel_serviceFaylni tanlang va Chiqish-ni bosing.
Kernel_time va kernel_complete xizmat nomlari uchun yuqoridagi narsani takrorlang.
Faollik monitorida xizmatlardan chiqsangiz ham, siz Mac-dagi fayllarni o'chirishingiz kerak. Buni amalga oshirish uchun kernel_service, kernel_time va kernel_complete fayllariga o'tish uchun eslatma qilgan fayl yo'l nomlaridan foydalaning. (Eslatma: Sizda bu fayllar Mac-da mavjud bo'lmasligi mumkin.)
Siz o'chirishingiz kerak bo'lgan fayllar sizning uy papkangizdagi Kutubxona papkasida joylashganligi sababli, ushbu maxsus papkani ko'rinadigan qilishingiz kerak. Buning qanday bajarilishi haqidagi ko'rsatmalarni OS X da sizning kutubxonangiz papkasini yashirish maqolasida topishingiz mumkin.
Kutubxona papkasiga kirganingizdan so'ng yuqoridagi fayllarni axlatga tashlab, keyin axlat belgisini o'ng tugmasini bosib va tozalang.