2016年3月4日,知名安全公司Palo Alto Networks发布了KeRanger勒索软件,感染了受欢迎的Mac BitTorrent客户端Transmission。在传输版本2.90的安装程序中找到了实际的恶意软件。
Transmission网站迅速取消了受感染的安装程序,并敦促使用Transmission 2.90的任何人更新到2.92版本,该版本已由Transmission验证为免于KeRanger。
传输尚未讨论受感染的安装程序如何能够在其网站上托管,Palo Alto Networks也无法确定传输站点是如何被泄露的。
KeRanger勒索软件
KeRanger勒索软件可以像大多数勒索软件一样工作,通过加密Mac上的文件,然后要求付款;在这种情况下,以比特币(目前价值约400美元)的形式为您提供恢复文件的加密密钥。
KeRanger勒索软件由受损的传输安装程序安装。安装程序使用有效的Mac应用程序开发人员证书,允许安装勒索软件飞越OS X,即Gatekeeper技术,从而防止在Mac上安装恶意软件。
安装完成后,KeRanger将与Tor网络上的远程服务器建立通信。然后它进入睡眠状态三天。一旦唤醒,KeRanger就会从远程服务器接收加密密钥,然后继续加密受感染Mac上的文件。
加密的文件包括/ Users文件夹中的文件,这会导致受感染的Mac上的大多数用户文件变为加密且无法使用。此外,Palo Alto Networks还报告/ Volumes文件夹,其中包含本地和网络上所有连接存储设备的安装点,也是目标。
目前,有关KeRanger加密的Time Machine备份的混合信息,但如果目标是/ Volumes文件夹,我认为没有理由不加密Time Machine驱动器。我的猜测是,KeRanger是一个新的勒索软件,关于Time Machine的混合报告只是勒索软件代码中的一个错误;有时候它会起作用,有时它也不会。
Apple Reacts
Palo Alto Networks向Apple和Transmission报告了KeRanger勒索软件。两人都迅速反应过来; Apple撤销了应用程序使用的Mac应用程序开发人员证书,从而允许Gatekeeper停止进一步安装当前版本的KeRanger。 Apple还更新了XProject签名,允许OS X恶意软件防护系统识别KeRanger并阻止安装,即使GateKeeper被禁用,或者配置为低安全性设置。
传输从他们的网站上删除了传输2.90并迅速重新发布了一个干净版本的传输,版本号为2.92。我们还可以假设他们正在调查他们的网站是如何受到损害的,并采取措施防止其再次发生。
如何删除KeRanger
请记住,下载和安装受感染版本的Transmission应用程序是目前获取KeRanger的唯一方法。如果你不使用传输,你现在不需要担心KeRanger。
只要KeRanger尚未加密您的Mac文件,您就有时间删除应用程序并阻止加密发生。如果您的Mac,文件已经加密,除了希望您的备份还没有加密之外,您无能为力。这指出了一个非常好的理由让备份驱动器并不总是连接到Mac。举个例子,我使用Carbon Copy Cloner来每周复制我的Mac数据。克隆的驱动器外壳没有安装在我的Mac上,直到克隆过程需要它为止。
如果我遇到了勒索软件的情况,我可以通过从每周克隆恢复来恢复。使用每周克隆的唯一惩罚是拥有可能长达一周的文件,但这比支付一些邪恶的赎金要好得多。
如果你发现自己处于KeRanger陷入陷阱的不幸状态,我知道除了支付赎金或重新加载OS X并重新安装干净之外别无他法。
删除传输
在Finder中,导航到/ Applications。
找到传输应用程序,然后右键单击其图标。
从弹出菜单中,选择“显示包内容”。
在打开的Finder窗口中,导航到/ Contents / Resources /。
查找标记为General.rtf的文件。
如果存在General.rtf文件,则表明您安装了受感染的传输版本。如果传输应用程序正在运行,请退出应用程序,将其拖到回收站,然后清空垃圾箱。
删除KeRanger
启动活动监视器,位于/ Applications / Utilities。
在Activity Monitor中,选择CPU选项卡。
在Activity Monitor的搜索字段中,输入以下内容:
kernel_service
然后按回车键。
如果该服务存在,它将列在活动监视器窗口中。
如果存在,请双击“活动监视器”中的进程名称。
在打开的窗口中,单击“打开文件和端口”按钮。
记下kernel_service路径名;它可能是这样的:
/用户/ homefoldername /库/ kernel_service
选择该文件,然后单击“退出”按钮。
重复以上内容 kernel_time 和 kernel_complete 服务名称。
虽然您退出了Activity Monitor中的服务,但您还需要从Mac中删除这些文件。为此,请使用您记下的文件路径名导航到kernel_service,kernel_time和kernel_complete文件。 (注意:您的Mac上可能没有所有这些文件。)
由于您需要删除的文件位于主文件夹的Library文件夹中,因此您需要使此特殊文件夹可见。您可以在OS X隐藏您的库文件夹文章中找到有关如何执行此操作的说明。
访问Library文件夹后,通过将上述文件拖到回收站中,然后右键单击回收站图标,然后选择清空废纸篓,删除上述文件。
