بالو ألتو شبكات يكتشف رانسومواري استهداف أجهزة ماكينتوش
في 4 مارس 2016 ، نشرت Palo Alto Networks ، وهي شركة أمنية مشهورة ، اكتشافها لـ KeRanger ransomware infecting Transmission ، وهو عميل Mac BitTorrent الشهير. تم العثور على البرامج الضارة الفعلية داخل برنامج التثبيت لإصدار Transmission 2.90.
وسرعان ما قام موقع الإرسال بنقل المثبت المصاب بالعدوى ، وحث أي شخص يستخدم الإرسال 2.90 على التحديث إلى الإصدار 2.92 ، والذي تم التحقق منه من خلال ناقل الحركة ليكون خاليًا من KeRanger.
لم تناقش عملية الإرسال كيف تم استضافة برنامج التثبيت المصاب على موقعه على الويب ، ولم تتمكن Palo Alto Networks من تحديد كيفية اختراق موقع الإرسال.
KeRanger Ransomware
يعمل KeRanger Ransomware كما يفعل معظم ransomware ، بتشفير الملفات على جهاز Mac الخاص بك ، ثم المطالبة بالسداد ؛ في هذه الحالة ، على شكل بيتكوين (تقدر قيمته حاليًا بحوالي 400 دولار) لتزويدك بمفتاح التشفير لاسترداد ملفاتك.
يتم تثبيت KeRanger Ransomware بواسطة مثبت Transmissioned للخطر. يستفيد المُثبِّت من شهادة مطور تطبيق Mac صالحة ، مما يسمح بتثبيت أداة Ransomware لتجاوز تقنية Gatekeeper لنظام التشغيل OS X ، والتي تمنع تثبيت البرامج الضارة على جهاز Mac.
بمجرد تثبيته ، يقوم KeRanger بإعداد اتصال مع خادم بعيد على شبكة Tor. ثم يذهب للنوم لمدة ثلاثة أيام. بمجرد أن تستيقظ ، يتلقى KeRanger مفتاح التشفير من الخادم البعيد ويتابع لتشفير الملفات على جهاز Mac المصاب.
تتضمن الملفات المشفرة تلك الموجودة في المجلد / Users ، مما يؤدي إلى أن تصبح معظم ملفات المستخدم على جهاز Mac المصاب مشفرة وغير قابلة للاستخدام. بالإضافة إلى ذلك ، تفيد Palo Alto Networks أن مجلد / Volumes ، الذي يحتوي على نقطة التحميل لكافة أجهزة التخزين المرفقة ، على كل من الشبكة المحلية والشبكة الخاصة بك ، هو أيضًا هدف.
في هذا الوقت ، هناك معلومات مختلط حول النسخ الاحتياطية لـ Machine Machine التي يتم تشفيرها بواسطة KeRanger ، ولكن إذا تم استهداف المجلد / Volumes ، لا أرى أي سبب لعدم تشفير محرك أقراص Time Machine. تخميني هو أن KeRanger هو قطعة جديدة من رانسومواري أن التقارير المختلطة عن آلة الزمن هي مجرد خلل في رمز رانسومواري ؛ في بعض الأحيان يعمل ، وأحيانا لا يعمل.
أبل تتفاعل
أفادت Palo Alto Networks عن رانسومواري KeRanger إلى كل من Apple و Transmission. كلاهما استجاب بسرعة؛ ألغت Apple شهادة مطور تطبيق Mac التي يستخدمها التطبيق ، مما يسمح لـ Gatekeeper بوقف عمليات التثبيت الإضافية للإصدار الحالي من KeRanger. كما قامت Apple بتحديث توقيعات XProject ، مما يسمح لنظام الوقاية من البرامج الضارة OS X بالتعرف على KeRanger ومنع التثبيت ، حتى إذا تم تعطيل GateKeeper ، أو تم تكوينه لإعداد منخفض الأمان.
وقد أزال ناقل الحركة الإرسال 2.90 من موقعه على الويب وأعيد إصدار إصدار نظيف من الإرسال بسرعة ، مع رقم إصدار 2.92. يمكننا أيضًا أن نفترض أنهم يبحثون في كيفية اختراق موقعهم على الويب ، واتخاذ إجراءات لمنع حدوثه مرة أخرى.
كيفية إزالة KeRanger
تذكر ، تنزيل وتثبيت النسخة المصابة من تطبيق Transmission هو الطريقة الوحيدة حاليًا للحصول على KeRanger. إذا لم تستخدم الإرسال ، فلا داعي للقلق حاليًا بشأن KeRanger.
طالما لم يقم KeRanger بتشفير ملفات Mac الخاصة بك حتى الآن ، لديك الوقت لإزالة التطبيق ومنع التشفير من الحدوث. إذا كانت ملفات Mac الخاصة بك مشفرة بالفعل ، فليس هناك الكثير مما يمكنك القيام به ، ما عدا الأمل في عدم تشفير نسخك الاحتياطية كذلك. يشير ذلك إلى سبب جيد جدًا لوجود محرك أقراص احتياطي غير متصل دائمًا بجهاز Mac. على سبيل المثال ، أستخدم Carbon Copy Cloner لعمل نسخة أسبوعية من بيانات جهاز Mac . لا يتم تثبيت مبيت محرك الأقراص الذي تم نسخه على جهاز Mac إلى أن تكون هناك حاجة إليه لعملية الاستنساخ.
إذا كنت قد واجهت حالة الفدية ، يمكن أن استردت عن طريق استعادة من استنساخ الأسبوعية. العقوبة الوحيدة لاستخدام النسخ الأسبوعية هي وجود الملفات التي قد تصل إلى أسبوع واحد ، ولكن هذا أفضل بكثير من دفع بعض cretin الشرير إلى فدية.
إذا وجدت نفسك في موقف مؤسف من KeRanger بعد أن نشأت بالفعل شركه ، وأنا لا أعرف أي وسيلة أخرى بخلاف دفع الفدية أو إعادة تحميل OS X والبدء من جديد مع تثبيت نظيف .
إزالة الإرسال
في Finder ، انتقل إلى / Applications.
ابحث عن تطبيق الإرسال ، ثم انقر بزر الماوس الأيمن على رمزه.
من القائمة المنبثقة ، حدد Show Package Contents.
في نافذة الباحث التي تفتح ، انتقل إلى / المحتويات / الموارد /.
ابحث عن الملف المسمى General.rtf.
إذا كان الملف General.rtf موجودًا ، فلديك نسخة مصابة من ناقل الحركة مثبت. إذا كان تطبيق الإرسال قيد التشغيل ، فعليك إنهاء التطبيق ، ثم سحبه إلى المهملات ، ثم تفريغ المهملات.
إزالة KeRanger
بدء تشغيل Activity Monitor ، الموجود في / Applications / Utilities.
في Activity Monitor ، حدد علامة التبويب CPU.
في حقل البحث في Activity Monitor ، أدخل ما يلي:
kernel_serviceثم اضغط على العودة.
إذا كانت الخدمة موجودة ، سيتم إدراجها في نافذة Activity Monitor.
إذا كان موجودًا ، فانقر نقرًا مزدوجًا فوق اسم العملية في Activity Monitor.
في النافذة التي تفتح ، انقر فوق الزر فتح الملفات والمنافذ.
قم بتدوين اسم مسار kernel_service ؛ من المحتمل أن يكون شيء مثل:
/ المستخدمين / homefoldername / المكتبة / kernel_serviceحدد الملف ، ثم انقر فوق الزر "إنهاء".
كرر ما سبق لأسماء الخدمة kernel_time و kernel_complete .
على الرغم من أنك تخليت عن الخدمات داخل Activity Monitor ، فإنك تحتاج أيضًا إلى حذف الملفات من جهاز Mac الخاص بك. للقيام بذلك ، استخدم أسماء الملفات التي قمت بتدوينها للتنقل إلى ملفات kernel_service و kernel_time و kernel_complete. (ملاحظة: قد لا يكون لديك كل هذه الملفات موجودة على جهاز Mac الخاص بك.)
نظرًا لأن الملفات التي تحتاج إلى حذفها موجودة في مجلد Library للمجلد المنزلي ، فستحتاج إلى جعل هذا المجلد الخاص مرئيًا. يمكنك العثور على تعليمات حول كيفية القيام بذلك في OS X Is Hiding Your Library Folder article.
بمجرد الوصول إلى مجلد Library ، قم بحذف الملفات المذكورة أعلاه عن طريق سحبها إلى المهملات ، ثم النقر بزر الماوس الأيمن فوق رمز سلة المهملات ، وتحديد Empty Trash.