Palo Alto sareak Ransomware Targeting Macs deskargatzen du
2016ko martxoaren 4an, Palo Alto Networks-ek, segurtasuneko enpresa ezagun batek, KeRanger ransomware-k detektatu zuen transmisioa infektatzen, ezaguna den Mac BitTorrent bezeroa. Malware benetakoa instalatzailean aurkitu zen Transmission 2.90 bertsioan.
Transmisioaren webgunea azkar kutsatutako instalatzailera eraman du eta Transmission 2.90 erabiltzeari uko egiten dio 2.92 bertsiorako eguneratzeko, Transmisiónk egiaztatua KeRanger-en doakoa izan dadin.
Transmisioak ez du eztabaidatu kutsatutako instalatzaileari bere webgunean ostatatutako gaiari buruz, ezta Palo Alto Networks-ek transmisio-gunea nola eragiten duen zehazteko.
KeRanger Ransomware
KeRanger ransomware-k ransomware gehienak funtzionatzen du, zure Mac-eko fitxategiak enkriptatzen ditu eta ordainketa eskatuz; kasu honetan, bitcoin baten moduan ($ 400 inguru baloratzen da) zure fitxategiak berreskuratzeko enkriptatze-gakoa emateko.
KeRanger ransomware konpromisoa da Transmisioaren instalatzailea. Instalatzaileak aplikazioak Mac aplikazioko garatzaileen ziurtagiri baliagarri bat erabiltzen du, ransomware-a instalatzeko aukera ematen du OS X-ren Gatekeeper teknologia iraganeko hegan egiteko, Mac-ekin malwarea instalatzeko.
Behin instalatuta, KeRanger-ek Tor sareko urruneko zerbitzariarekin komunikazio bat ezartzen du. Hiru egunez lo egiten du. Behin entzuna denez, KeRanger-ek urruneko zerbitzariko enkriptatze-gakoa jasotzen du eta kutsatutako Mac-en fitxategiak enkriptatzen hasten da .
Fitxategiak enkriptatuta daude / Erabiltzaileen karpetan daudenak, hau da, kutsatutako Mac gehienetan erabiltzaileen fitxategiak zifratzen eta ez erabilgarri bihurtzen. Horrez gain, Palo Alto Networks-ek adierazten du / Volumes karpeta, biltegiratze-gailu guztien muntatze-puntua, bai tokiko bai sarean, xede bat ere.
Une honetan KeRanger-en enkriptatzeaz ari den Time Machine-eko segurtasun kopiei buruzko informazio mistoa dago, baina / Volumes karpeta zuzenduta badago, ez da arrazoirik Time Machine disko bat ez litzateke enkriptatuko. Nire ustez, KeRanger ransomware pieza berria da, Time Machine-i buruzko txosten mistoak ransomwarearen kodean errore bat besterik ez direla; batzuetan funtzionatzen du, eta batzuetan ez.
Applek erreakzionatzen du
Palo Alto Networks-ek KeRanger ransomware berri eman zion Apple-ri eta Transmisioari. Bi erreakzionatu azkar; Apple-k aplikazioak erabilitako Mac aplikazioen garatzaile ziurtagiria errebokatu du, horrela, Gatekeeper-ek KeRanger-en bertsioaren instalazio gehiago gelditu ahal izateko. Applek XProject-en sinadurak ere eguneratu ditu, OS X malwarearen prebentzio sistemak KeRanger sarbidea aintzat hartzeko eta instalazioa saihesteko aukera ematen du, GateKeeper desgaituta badago ere, edo segurtasun baxuko ezarpenetarako konfiguratuta dago.
Transmisioa kendu egin zen 2.90 transmisiorako, eta azkar argitaratu zen Transmisioaren bertsio garbia, 2.92 zenbakiarekin. Halaber, bere webgunea arriskuan jartzen saiatzen ari direla suposatzen dugu, eta neurriak hartzea saihesteko.
Nola Kendu KeRanger
Gogoratu, deskargatu eta instalatu Kudeatu aplikazioaren kutsatutako bertsioa, gaur egun, KeRanger eskuratzeko modu bakarra. Transmisioa erabiltzen ez baduzu, ez duzu KeRanger-i kezkatu beharrik.
KeRanger-ek zure Mac fitxategiak enkriptatu ez dituen bitartean, aplikazioa kentzeko eta enkriptatzea ekiditeko denbora izan behar duzu. Zure Mac fitxategiak dagoeneko enkriptatuta badago, ez dago asko egin dezakezu zure kopiak ez daude enkriptatuta izan ezik. Honek arrazoi oso ona adierazten du beti Mac ordenagailura konektatuta ez dagoen segurtasun kopia bat izatea. Adibide gisa, Carbon Copy Cloner erabiltzen dut nire Mac-en datuen klon astero bat egiteko . Klonatzeko unitate-etxea ez da nire Mac-etan muntatu klonazio-prozesurako behar den arte.
Ransomware egoera batean exekutatzen banu, berreskuratu ahal izan dut astero klonatzean berrezartzean. Asteko klonak erabiltzeko zigorra bakarra da aste bat baino zaharragoa izan daitekeen fitxategiak izatea, baina askoz hobeak dira errusiar errautsak ordaintzeko.
KeRanger-en zorigaiztoko egoeran aurkitzen bazara bere tranpa abiarazi baduzu, ez dut inolako irtenbiderik ordainduko, edo OS X birkargatzen baduzu eta instalazio garbi batekin hasi baino .
Kendu transmisioa
Bilatu aukeran , joan / Aplikazioak.
Bilatu Transmisioa aplikazioa eta egin klik eskuineko botoiaz bere ikonoan.
Pop-up menuan, hautatu Erakutsi paketeen edukia.
Ireki duen Finder leihoan, nabigatu / Edukiak / Baliabideak /.
Bilatu General.rtf izeneko fitxategi bat.
General.rtf fitxategia badago, Transmisio instalatutako kutsatutako bertsioa duzu. Transmisio aplikazioa martxan badago, irten aplikazioa, arrastatu zakarrontzira eta zaborrontzira bota.
Kendu KeRanger
Abiarazi Jarduera Monitorea , / Aplikazioak / Utilitateetan kokatuta.
Jarduera Monitorean, hautatu CPU fitxa.
Activity Monitor-en bilaketa eremuan, sartu hurrengo hau:
kernel_serviceeta sakatu itzulera.
Zerbitzua badago, Activity Monitor-en leihoan zerrendatuko da.
Aurkezten baduzu, egin klik bikoitza Activity Monitor in the process name.
Ireki leihoan, egin klik Ireki fitxategiak eta atakak botoian.
Egin kernel_service bide-izenaren ohar bat; litekeena da antzeko zerbait izatea:
/ users / homefoldername / Library / kernel_serviceHautatu fitxategia, eta egin klik Irten botoian.
Errepikatu goian kernel_time eta kernel_complete zerbitzu izenak.
Activity Monitor-en barruan zerbitzuen kontrola baduzu, Mac-eko fitxategiak ere ezabatu behar dituzu. Horretarako, erabili kernel_service, kernel_time, eta kernel_complete fitxategiak nabigatzeko oharretako bide-izenen bide-izena. (Oharra: agian ez duzu fitxategi horietan zure Mac-ean agertzen).
Ezabatu behar dituzun fitxategiak zure etxeko karpeten Liburutegiko karpetan daude, karpeta berezi hau ikusgai egongo da. Hau nola egin dezakezu argibideak aurkituko dituzu OS X Zure Liburutegiko Karpeta ezkutatzean artikuluaren arabera.
Liburutegiaren karpetara sar zaitezkeenean, ezabatu aipatutako fitxategiak arrastatuz zakarrontzira, eta egin klik eskuineko botoiaz zakarrontziaren ikonoan eta hautatu Garbitu zakarrontzia.