Palo Alto Networks компаниясы Ransomware Targeting Macs бағдарламасын ашты
2016 жылдың 4 наурызында танымал қауіпсіздік фирмасы Palo Alto Networks компаниясы танымал Mac BitTorrent клиенті, KeRanger төлем құралдарын жұқтыратын Трансмиссиясы туралы жариялады. Нақты зиянды бағдарлама Орнатушы ішінде 2.90 нұсқасы үшін табылды.
Transmission веб-сайты зарарланған орнатушыны жылдам алға шығарды және Трансмиссия 2.90 нұсқасын 2.92 нұсқасына дейін жаңартуға шақырады, ол Трансмиссия арқылы KeRanger-дан босатылады.
Трансмиссиясы инфекцияланған инсталлятордың өз веб-сайтында қалай орналастырылғанын, сондай-ақ Пало Алто Наслингтері Трансмиссиялық сайт қалай бұзылғанын анықтай алмады.
KeRanger Ransomware
KeRanger төлем бағдарламасы көптеген құжаттарды жасау арқылы жұмыс істейді, Mac-файлдарды шифрлау арқылы, содан кейін төлеуді талап етеді; бұл жағдайда файлдарды қалпына келтіру үшін шифрлау кілтін қамтамасыз ету үшін битокин түрінде (қазіргі уақытта шамамен 400 доллар).
KeRanger төлем бағдарламасы бұзылған Transmission орнатушысы арқылы орнатылады. Орнатушы Mac бағдарламасының әзірлеушінің куәлігін қолданып, Mac Xware Gatekeeper технологиясын қолданып, Mac бағдарламасында зиянды бағдарламаны орнатуға кедергі келтіре отырып, төлем бағдарламаларын орнатуға мүмкіндік береді.
Орнатқаннан кейін, KeRanger тор желісіндегі қашықтағы сервермен байланыс орнатады. Содан кейін ол үш күн ұйықтап жатыр. Ол оятудан кейін, KeRanger қашықтағы серверден шифрлау кілтін алады және вирус жұққан Mac файлдарын шифрлауды жалғастырады .
Шифрланған файлдарда / Users қалтасындағы файлдар бар, олар инфекцияланған Mac жүйесінде көптеген пайдаланушы файлдарына шифрланады және қолданылмайды. Сонымен қатар, Palo Alto Networks компаниясы, жергілікті және сіздің желіңіздегі барлық қосылған сақтау құрылғылары үшін қосылатын нүктесі бар / Волюм қалтасының да мақсатты екенін хабарлайды.
Қазіргі уақытта, KeRanger шифрланған Time Machine резервтік көшірмелері туралы аралас ақпарат бар, бірақ / Көлемдер қалтасы мақсатты болса, Time Machine құрылғысының шифрланбайтынына ешқандай себеп жоқ. Менің болжауымша, KeRanger - бұл төлем құралы туралы жаңашылдықтың жаңа құралы, бұл Time Machine туралы аралас есептер тек қана төлем бағдарламасында қате болып табылады; кейде ол жұмыс істейді, кейде ол істемейді.
Apple реакциясы
Palo Alto Networks компаниясы KeRanger төлем бағдарламасын Apple және Transmission-қа жеткізді. Екеуі де тез әрекет етті; Apple компаниясы App қолданатын Mac app әзірлеуші куәлігін қайтарып алды, осылайша Gatekeeper компаниясы KeNanger нұсқасының орнатуларын тоқтатуға мүмкіндік берді. Apple корпорациясы OS X зиянкесінің алдын-алу жүйесін KeRanger-ны тануға және орнатуды болдырмауға мүмкіндік беретін XProject-дың қолдарын жаңартты, тіпті егер GateKeeper өшірілген болса немесе төмен қауіпсіздік параметрлері үшін теңшелген болса.
Трансмиссиясы өз веб-сайтынан 2.90 трансмиссиясын алып тастады және 2.92 версия нөмірімен жылдам хабар алмасудың таза нұсқасын қайта шығарады. Сондай-ақ, олардың веб-сайтының қалай бұзылғанын қарастырып, оны қайтадан болдырмау үшін шаралар қабылдауды болжай аламыз.
KeRanger қызметін қалай жоюға болады
Есіңізде болсын, Жүктеу бағдарламасының вирус жұқтырған нұсқасын жүктеу және орнату қазіргі уақытта KeRanger сатып алудың жалғыз жолы болып табылады. Егер сіз Трансмиссияны пайдаланбайтын болсаңыз, онда KeRanger туралы алаңдатудың қажеті жоқ.
Егер KeRanger сіздің Mac файлдарын әлі шифрлаған жоқ, сізде бағдарламаны жоюға және шифрлануды болдырмауға уақыт бар. Mac файлдары шифрланған болса, сақтық көшірмелеріңіз шифрланбады деген үміттен басқа көп нәрсе істей алмайсыз. Бұл әрқашан сіздің Mac-ге қосылмайтын резервтік диск жетегінің болуының өте жақсы себебін көрсетеді. Мысал ретінде, менің Mac деректерімнің апталық клонын жасау үшін көміртекті көшіру клонері қолданылады . Клондау үдерісі үшін қажет болғанша, бұл клонның Mac амалдық жүйесінде орнатылмаған.
Егер төлем шартымен айналысатын болсам, апта сайынғы клоннан қалпына келтіре алатын едім. Апта сайынғы клондарды қолданудың жалғыз жазасы - бір аптаның ішінде ескірген файл болуы мүмкін, бірақ бұл кейбір төлсипаттың төленуінен артық әлдеқайда жақсы.
Егер сіз өзіңіздің тұзақ түгелімен KeRanger-нің бақытсыз жағдайында тұрсаңыз, онда мен төлемнің төленуін немесе OS X-ны қайта жүктеуден және таза қондырғымен басталудан басқа ешқандай шығуды білмеймін.
Трансмиссияны алып тастаңыз
Finder ішінде / Applications тармағына өтіңіз.
Трансмиссиясы бағдарламасын тауып, оның белгішесін тінтуірдің оң жақ түймешігімен нұқыңыз.
Қалқымалы мәзірден Пакет мазмұнын көрсету параметрін таңдаңыз.
Ашылатын Finder терезесінде / Contents / Resources / сілтемесіне өтіңіз.
General.rtf деп белгіленген файлды іздеңіз.
Егер General.rtf файлы болса, сізде Transmission орнатылған вирус жұқтырған нұсқасы бар. Трансмиссиясы қолданбасы іске қосылған болса, қолданбаны тастаңыз, оны қоқысқа сүйреңіз, содан кейін қоқысты босатыңыз.
KeRanger жою
/ Қолданбалар / Утилиталар бөлімінде орналасқан Activity Monitor қызметін іске қосыңыз .
Activity Monitor ішінде CPU қойындысын таңдаңыз.
Әрекет мониторының іздеу өрісінде келесіні енгізіңіз:
kernel_serviceсодан кейін қайтару түймесін басыңыз.
Егер қызмет бар болса, ол белсенділік мониторының терезесінде көрсетіледі.
Егер қатысса, белсенділік мониторында процестің атауын екі рет басыңыз.
Ашылған терезеде Ашылған файлдар мен порттар түймешігін басыңыз.
Kernel_service жолының атын жазып алыңыз; ол, бәлкім, ұқсас:
/ Пайдаланушылар / homefoldername / Library / kernel_serviceФайлды таңдап, Шығу түймешігін басыңыз.
Жоғарыда келтірілген ядро_time және kernel_complete қызмет атаулары үшін қайталаңыз.
Activity Monitor ішіндегі қызметтерді тастасаңыз да, Mac файлдарынан файлдарды жою қажет. Ол үшін kernel_service, kernel_time және kernel_complete файлдарына өту үшін ескертпе жасаған файл жолдарының атын пайдаланыңыз. (Ескерту: Сізде бұл файлдардың барлығы сіздің Mac-іңізде болуы мүмкін.)
Жойылуы қажет файлдар сіздің үй қалтаңыздағы Кітапхана қалтасында орналасқандықтан, сіз бұл арнайы қалтаны көрінетін етіп жасауыңыз керек. Сіз мұны OS X жүйесінде қалай жасауға болатындығы туралы нұсқауларды таба аласыз.
Кітапхана қалтасына қол жеткізгеннен кейін, жоғарыда аталған файлдарды қоқысқа тастау арқылы жойыңыз, содан кейін қоқыс белгішесін тінтуірдің оң жақ түймешігімен нұқып, Бос қоқысты таңдаңыз.