Rice di Palo Alto Scuprite u Ransomware Mac destinazione
In u 4 di marzu di 2016, Palo Alto Networks, una signatura di a vigilanza notata, pubblicò u so scuperta di KeRanger ransomware infecting Transmission, u popular Mac BitTorrent client. U malware propiu hè stata trova in u installatore per Transmission versione 2.90.
U situ web di a Trasmissione prestu prestu l'installadoru infettatu è urdinò à qualchissia chì utilizava a Transmission 2.90 à aghjurnà a versione 2.92, chì hè statu verificatu da Transmission per esse libera di KeRanger.
A trasmissione ùn hà micca discututu cumu chì u installatore infettatu pudaria esse accade in u so situ web, nè chì hà e Palo Alto Networks hàbbenu pudè a determinà chì u situ di u trasmissione hè compromettu.
KeRanger Ransomware
U travagliu di u KeRanger funziona cumu a maiò parte di l'ransomare si fa, cuscugliate i schedari nantu à a vostra Mac, è dopu esigenti pagamentu; in questu casu, in a forma di un bitcoin (cun valenu appressu à circa 400 $) per fornitu cù a chjave di cifri per ricuperà i vostri schedari.
U KeRanger ransomware hè stallatu da u installatore di Trasmissione compaccionu. U installatore face u validu di u certificatu di sviluppatore di l'appiccicatu di Mac, chì permettenu a stallazione di u ransomware per passà a tecnologia di Gatekeeper di SO X , chì impedisce a stallazione di malware in Mac.
Una volta installata, KeRanger crea una cumunicazione cù un servore remota in a reta Tor. Puderemu per dorme duranti trè ghjorni. Quandu u matina, KeRanger riceve a chjave di u cifru da u servitore remotu è prucede per criptà i schedari nantu à a Mac infectada.
I schedari criptate includenu quelli chì sò in u cartulare / Usuariu, chì risultatu in a maiò parte di i cartulari di l'utilizatori nantu à a Mac infectada diventendu cum'è chiffonatu è ùn pò micca esse utilizatu. Inoltre, Palo Alto Networks rende chì u / Volumes cartulare, chì cuntene a muntagna puntata per tutti i apparecchi di almacenamiento attaccati, elli è in u vostru reta, hè ancu un mira.
À questu tempu, ùn ci hè infurmatu nantu à e copia di salvezza di Time Machine chì sò criptati da KeRanger, ma se u / u cartulare Volumes hè puntuale, ùn aghju micca una raghju perchè un Time Machine ùn hè micca stata cifrada. U mo guess hè chì KeRanger hè un tali un novu pezzu di u ransunalizazione chì i rapporti mischiati nantu à a Time Machine hè solu bug in u codice di ransomware; quarchi volta u travagliu, è quarchi cosa ùn sia micca.
Apple Reacts
Palo Alto Networks hà infurmatu u KeRanger ransomware à Apple è di Transmission. I dui rinfrescenu veloce; Apple revucò u certificatu di sviluppatore di a Mac app utilizatu da l'app, chì permette di Gatekeeper per fà stallà installazione di a versione currente di KeRanger. Apple hà ancu aghjuntu cù l'usu di XProject, chì permettenu u sistema di prevenzione di malware di l'OS X per a ricunniscenza di KeRanger è impediscenu a stallazione, ancu se GateKeeper hè disabilitata, o hè cunfigurata per un paràmetu di sicurezza.
Trasmission uttene a Trasmissione 2.90 da u so situu è rissimu novu una versione limpa di Transmission, cun un numero di versione di 2.92. Pudemu ancu avè assume chì anu circà à quandu u so situ web hè cumprumatu, è piglià mette per impediscenu di averà novu.
Chjamate u KeRanger
Ricurdà, scaricate è installate a versione infettata di l'Appena di Trasmissione hè a sola manera d'acquistà KeRanger. Se ùn utilizate micca a Transmission, ùn avete micca bisognu di preoccupari di KeRanger.
In quantu chì KeRanger ùn hà micca criptatu i vostri schedari di Mac, hà avutu u tempu di rinunzià l'app è impedisce à l'encryption. Se i vostri schedari di Mac anu cresciutu, ùn ci hè micca assai ciò chì pudete fà, salvu l'espera chì e vostre salvezza ùn sò micca stati cifrati. Hè sceltu una bona raggiuni di avè una copia di salvezza chì ùn hè micca sempre cunnessu cù u vostru Mac. Comu esempiu, aduceo Carbon Copy Cloner per fà un clone settee di e mo data di Mac . L'impurtante u cundimentu chì u clone ùn hè muntatu nantu à a mo Mac finu à chì hè necessariu per u prucessu di clonazzioni.
Sì avutu esse ghjucatu in una situazione di ransunate, puderia avè ricuperatu da rincoluzione da u clone simule. L'unica penalità per l'utilizazione di u clone simule è avè pussibule i schedari chì puderia esse da una settimana fora di data, ma chì hè assai megliu chì paghe qualchissimu cretin nefarious un rescate.
Se truvate in u situatu chì hè chjesa di KeRanger chì hè stata cumprata a so trappula, ùn sanu micca di manera micca allora chì o pagà u resesti o recargate VOS X è avè principiatu cù una installazione limpia .
Elimine Transmission
In u Finder , navigate à / Apps.
Truvate l'Appena di Trasmissione, è dopu cliccate nant'à u so icona.
Da u menù popup menu, sceglite Select Package Contenuti.
In a finestra di u Finder chì apre u navigatore / Contenuti / Risorse /.
Cerchera un schedariu di General.rtf.
Se u schedariu generale.rtf hè presentu, avete una versione infettata di a Tramission installata. In casu l'Appena di Trasmissione hè esecutatu, abandone l'app, trasfurmà à l'acqua, è viaghja a bumpera.
Eliminà KeRanger
Attenti Mandatu di Accunciatu , situatu in / Appliaggi / Utilities.
In Attività Cunvertariu, sceglite u tabulare CPU.
U campu di a Cunvenzione di u Cunsigliu di l'Assicuranza, intria i seguenti
kernel_serviceè da prumove ritornu.
Se u sirviziu esiste, serà in listu in a finestra di u Monitoru di l'Assicuranza.
Se prisenti, dà clic à u nome di u prucessu in Monitore di l'attività.
In a finestra chì s'aprì, fate un clic a Open Files and Ports button.
Fate una nota di a kenyel_service pathname; prubabilmente saria quarchi cosa cum'è:
/ utilizatori / domiciliu / Librerie / kernel_serviceSelect the file and then click the Quit button.
Repetite l'altru per i kernel_time è i kernel_complete nomi di serviziu.
Ancu serebbe sperisce i servizii di u Activity Monitor, avete bisognu di sguassà i schedari da u vostru Mac. Per fà, utilizate i nomi di u schedariu di schedariu chì avete dettu di navigà à u kernel_service, kernel_time, è kernel_complete files. (Nota: Ùn avete micca avete tutte issi schedari prisenti nantu à a vostra Mac.)
Siccomu i schedari chì avete bisognu di sguassà sò situati in u cartulare di a carta di a vostra pagina di u libru di casa, avete bisognu à fà affacciate stu cartulare speciale. Pudete truvà infurmazioni per cumu fà questu in u SO X hè u caratteru di u vostru librettu di Biblioteche .
Una volta avete accessu à u cartulare di a Bibliutca, sguassate i articuli citatoramente arrossenu cù i trash, dopu cliccate nant'à u icona di rossu, è sceglie a Bocca a zogliu.