Palo Alto Jaringan Discovers ransomware targeting Macs
On Maret 4, 2016, Palo Alto Jaringan, a teguh kaamanan well-dipikawanoh, dipasang kapanggihna miboga KeRanger ransomware infecting Transmission, anu populér Mac Perempuan berkalung Sorban klien. The malware sabenerna ieu kapanggih dina installer pikeun transmisi Vérsi 2,90.
Website Transmission gancang nyandak turun installer kainféksi sarta urging saha maké Transmission 2,90 pikeun ngapdet ka versi 2,92, anu geus diverifikasi ku Transmission janten haratis ngeunaan KeRanger.
Transmisi teu dibahas kumaha installer kainféksi éta bisa jadi hosted on ramatloka maranéhanana, atawa boga Palo Alto Jaringan geus bisa nangtukeun sabaraha situs transmisi ieu compromised.
KeRanger ransomware
The KeRanger ransomware jalan sakumaha paling ransomware manten, ku encrypting file dina Mac anjeun, lajeng nungtut mayar; dina hal ieu, dina bentuk bitcoin a (ayeuna hargana sabudeureun $ 400) nyadiakeun anjeun jeung konci enkripsi cageur payil Anjeun.
The KeRanger ransomware geus dipasang ku Transmission installer compromised. Installer ngajadikeun pamakéan Mac sertipikat pamekar aplikasi valid, sahingga pamasangan ransomware ka ngapung kaliwat téhnologi Gatekeeper OS X urang , nu nyegah pamasangan malware dina Mac.
Sakali dipasang, KeRanger susunan up komunikasi sareng server jauh dina jaringan TOR. Ieu lajeng mana anu ka bobo salila tilu poé. Sakali deui awakens, KeRanger narima tombol enkripsi ti server jauh jeung proceeds mun encrypt file dina Mac kainféksi.
Payil énkripsi kaasup jalma dina folder / Pamaké nu ngakibatkeun paling file pamaké dina Mac kainféksi jadi énkripsi teu usable. Sajaba ti éta, Palo Alto Jaringan ngalaporkeun yén folder / jilid, anu ngandung titik Gunung pikeun sakabéh alat panyimpen napel, duanana lokal sarta dina jaringan anjeun, oge udagan.
Dina waktu ieu, aya informasi dicampur ngeunaan Time Mesin cadangan keur énkripsi ku KeRanger, tapi lamun dina folder / jilid ieu sasaran, abdi ningali aya alesan naha a Time Mesin drive teu bakal énkripsi. Abdi tatarucingan éta KeRanger nyaéta sarupaning sapotong anyar ransomware yén laporan dicampur ngeunaan Time Mesin anu cukup ku hiji bug dina kode ransomware; kadang gawéna, sarta sakapeung eta henteu.
Apple meta
Palo Alto Jaringan dilaporkeun ka ransomware KeRanger mun duanana Apple jeung transmisi. Duanana diréaksikeun swiftly; Apple dicabut Mac sertipikat pamekar aplikasi dipaké ku aplikasi nu, sahingga sahingga Gatekeeper eureun pamasangan salajengna tina versi kiwari KeRanger. Apple ogé diropéa tanda tangan XProject, sahingga OS X Sistim pencegahan malware ngakuan KeRanger jeung nyegah instalasi, sanajan GateKeeper nyaeta ditumpurkeun, atawa geus ngonpigurasi pikeun netepkeun low-kaamanan.
Transmisi dihapus transmisi 2,90 ti ramatloka maranéhanana jeung gancang reissued versi bersih tina transmisi, kalawan jumlah versi 2,92. Urang ogé bisa nganggap maranéhna ditéang kana kumaha website maranéhanana ieu compromised, sarta nyokot ukuran pikeun nyegah tina lumangsung deui.
Kumaha Cabut KeRanger
Inget, ngundeur tur masang versi kainféksi sahiji aplikasi Transmission ayeuna hijina jalan ka acquire KeRanger. Mun anjeun teu make Transmission, anjeun ayeuna teu kedah salempang ngeunaan KeRanger.
Salami KeRanger teu énkripsi file Mac anjeun acan, anjeun gaduh waktu pikeun nyabut aplikasi tur nyegah enkripsi ti kajadian. Lamun file Mac anjeun anu geus énkripsi, aya teu pira anjeun bisa ngalakukeun iwal mudahan cadangan Anjeun teu acan énkripsi ogé. Ieu nunjuk kaluar hiji alesan pisan alus keur gaduh drive cadangan nu teu salawasna dihubungkeun jeung Mac Anjeun. Salaku conto, kuring make Karbon Salin Cloner nyieun hiji clone mingguan data kuring Mac urang . Drive perumahan nu clone henteu dipasang dina Mac abdi dugi ayeuna teh diperlukeun pikeun proses kloning.
Mun Kuring kungsi ngajalankeun kana situasi ransomware, abdi bisa geus pulih ku malikkeun ti clone mingguan. Hijina pinalti keur ngagunakeun clone mingguan téh ngabogaan file anu bisa jadi nepi ka hiji minggu mutahir, tapi éta leuwih hadé ti Mayar sababaraha cretin nefarious Mekah mangrupa.
Lamun manggihan dibaturan kaayaan musibah ti KeRanger sanggeus geus sprung bubu na, abdi terang tina euweuh jalan kaluar sejen ti boh Mayar Mekah atawa reloading OS X sarta dimimitian leuwih ku bersih install .
dipiceun Transmission
Dina Panimu , arahkeun ka / Aplikasi.
Manggihan aplikasi Transmission, lajeng katuhu-klik ikon na.
Tina menu pop-up, pilih Eusi Tembongkeun Paket.
Dina jandéla Panimu nu muka, arahkeun ka / Eusi / Sumberdaya /.
Tingali pikeun file dilabélan General.rtf.
Lamun file General.rtf hadir, Anjeun gaduh hiji versi kainféksi transmisi dipasang. Lamun aplikasi Transmission geus ngajalankeun, kaluar aplikasi, sered ka jarian, terus suwung jarian.
dipiceun KeRanger
Ngajalankeun Kagiatan Monitor , ayana di / Aplikasi / Utiliti.
Dina Kagiatan Monitor, pilih tab CPU.
Dina widang teang Kagiatan Monitor urang, asupkeun di handap:
kernel_servicelajeng mencet mulang.
Mun layanan nu aya, éta bakal dibéréndélkeun di jandela Kagiatan Monitor urang.
Mun hadir, klik-dua kali nami prosés di Kagiatan Monitor.
Dina jandéla nu muka, klik Buka Payil jeung palabuhan tombol.
Jieun catetan tina pathname kernel_service; eta kamungkinan bakal hal kawas:
/ pamaké / homefoldername / Perpustakaan / kernel_servicePilih file, lajeng klik tombol Kaluar.
Ngulang di luhur pikeun kernel_time sarta ngaran jasa kernel_complete.
Sanajan anjeun kaluar ti jasa dina Kagiatan Monitor, Anjeun ogé kudu mupus payil ti Mac Anjeun. Jang ngalampahkeun kitu, nganggo pathnames file nu dijieun catetan ngeunaan ka arahkeun ka kernel_service, kernel_time, sarta file kernel_complete. (Catetan: Anjeun bisa jadi teu boga sakabéh file ieu hadir dina Mac Anjeun.)
Kusabab payil nu peryogi dihapus anu lokasina di folder Perpustakaan folder ngarep anjeun, anjeun bakal kedah ngadamel folder husus ieu ditingali. Anjeun tiasa manggihan parentah pikeun kumaha carana ngalakukeun ieu di OS X Dupi nyumput Polder Perpustakaan anjeun artikel.
Sakali anjeun boga aksés kana folder Perpustakaan, ngahapus payil luhur-disebutkeun ku cara nyéred aranjeunna ka jarian, teras katuhu-ngaklik ikon jarian, tur milih Jarian kosong.