Den 4 mars 2016 publicerade Palo Alto Networks, ett välkänt säkerhetsföretag, sin upptäckt av KeRanger ransomware infecting Transmission, den populära Mac BitTorrent-klienten. Den faktiska skadliga programvaran hittades i installationsprogrammet för överföringsversion 2.90.
Sändningswebbplatsen tog snabbt ner den infekterade installatören och uppmanar alla som använder Sändning 2.90 att uppdatera till version 2.92, som har verifierats av Transmission för att vara fri från KeRanger.
Transmission har inte diskuterat hur den infekterade installatören kunde hostas på deras hemsida, och Palo Alto Networks har inte kunnat avgöra hur överföringsplatsen äventyras.
KeRanger Ransomware
KeRanger ransomware fungerar som de flesta ransomware gör, genom att kryptera filer på din Mac och sedan kräva betalning. i det här fallet, i form av ett bitcoin (för närvarande värderat runt $ 400) för att förse dig med krypteringsnyckeln för att återställa dina filer.
KeRanger ransomware installeras av den kompromisserade överföringsinstallatören. Installatören använder sig av ett giltigt Mac-apputvecklarcertifikat, vilket gör att installationen av ransomware kan flyga förbi OS X's Gatekeeper-teknik, vilket förhindrar installation av skadlig kod på Mac.
När en gång installerats ställer KeRanger upp kommunikation med en fjärrserver på Tor-nätverket. Det går sedan och lägger sig i tre dagar. När det väckts, tar KeRanger emot krypteringsnyckeln från fjärrservern och fortsätter att kryptera filer på den infekterade Mac.
Filerna som krypteras inkluderar de i mappen / Användare, vilket resulterar i att de flesta användarfilerna på den infekterade Macen blir krypterade och inte användbara. Dessutom rapporterar Palo Alto Networks att mappen / Volymer, som innehåller monteringspunkten för alla anslutna lagringsenheter, både lokalt och på ditt nätverk, är ett mål.
Vid denna tidpunkt finns blandad information om Time Machine-säkerhetskopior som krypteras av KeRanger, men om mappen / volymer är riktade ser jag ingen anledning till att en Time Machine-enhet inte skulle krypteras. Min gissning är att KeRanger är en sådan ny ransomware att de blandade rapporterna om Time Machine helt enkelt är en bugg i ransomware-koden; ibland fungerar det, och ibland gör det inte.
Apple reagerar
Palo Alto Networks rapporterade KeRanger ransomware till både Apple och Transmission. Båda reagerade snabbt; Apple återkallade Mac-apputvecklarcertifikatet som används av appen, vilket gör det möjligt för gatekeeper att stoppa ytterligare installationer av den nuvarande versionen av KeRanger. Apple uppdaterade också XProject-signaturer, vilket möjliggör att OS X-programvaran för malware identifierar KeRanger och förhindrar installation, även om GateKeeper är inaktiverat eller är konfigurerad för en låg säkerhetsinställning.
Sändningen tog bort sändning 2,90 från deras hemsida och omdefinierade snabbt en ren version av sändningen med ett versionsnummer på 2,92. Vi kan också anta att de tittar på hur deras hemsida äventyras och vidtar åtgärder för att förhindra att det händer igen.
Så här tar du bort KeRanger
Kom ihåg att nedladdning och installation av den infekterade versionen av Transmission-appen för närvarande är det enda sättet att förvärva KeRanger. Om du inte använder Transmission, behöver du för närvarande inte oroa dig för KeRanger.
Så länge som KeRanger inte har krypterat Macens filer ännu, har du tid att ta bort appen och förhindra att krypteringen uppstår. Om dina Mac-filer redan är krypterade, finns det inte mycket du kan göra förutom att hoppas att dina säkerhetskopior inte har krypterats. Detta pekar på en mycket bra anledning att ha en backup-enhet som inte alltid är ansluten till din Mac. Som exempel använder jag Carbon Copy Cloner för att göra en veckokloon av min Macs data. Drivhuset som klonen inte är monterad på min Mac tills det behövs för kloningsprocessen.
Om jag hade stött på en ransomware-situation kunde jag ha återhämtat mig genom att återställa från veckokloonen. Det enda straffet för att använda veckokloonen är att ha filer som kan vara upp till en vecka föråldrad, men det är mycket bättre än att betala några vanliga kretinlösningar.
Om du befinner dig i den olyckliga situationen när KeRanger redan har sprungit sin fälla, vet jag inte om någon annan lösning än att betala lösenordningen eller ladda om OS X och börja med en ren installation.
Ta bort sändning
I Finder navigerar du till / Program.
Hitta överföringsappen och högerklicka sedan på ikonen.
På snabbmenyn väljer du Visa paketinnehåll.
I Finder-fönstret som öppnas, navigerar du till / Innehåll / Resurser /.
Leta efter en fil med etiketten General.rtf.
Om filen General.rtf finns, har du en infekterad version av överföringen installerad. Om överföringsappen körs stänger du appen, drar den till papperskorgen och tömmer sedan papperskorgen.
Ta bort KeRanger
Starta Aktivitetsövervakning, som finns i / Program / Verktyg.
I Aktivitetsövervakning väljer du CPU-fliken.
Ange Aktivitetsmätarens sökfält genom att ange följande:
kernel_service
och tryck sedan på Retur.
Om tjänsten finns kommer den att visas i Aktivitetsövervakningens fönster.
Om du är närvarande dubbelklickar du på processnamnet i Aktivitetsmonitorn.
I fönstret som öppnas klickar du på knappen Öppna filer och portar.
Notera sökvägen för kernel_service det kommer sannolikt att vara något som:
/ Användare / homefoldername / Bibliotek / kernel_service
Välj filen och klicka sedan på Avsluta-knappen.
Upprepa ovanstående för kernel_time och kernel_complete servicenamn.
Även om du avslutar tjänsterna inom Activity Monitor måste du också ta bort filerna från din Mac. För att göra det, använd filvägsnamnen du noterade för att navigera till kernel_service, kernel_time och kernel_complete filer. (Obs! Du kanske inte har alla dessa filer på din Mac.)
Eftersom filerna du behöver ta bort finns i mappen Biblioteks mapp i din hemmapp måste du göra den här specialmappen synlig. Du hittar instruktioner för hur du gör det i OS X Gömmer din biblioteksmappartikel.
När du har tillgång till bibliotekets mapp, ta bort de ovan nämnda filerna genom att dra dem till papperskorgen, högerklicka på papperskorgen och välj Töm papperskorgen.
