Palo Alto Networks Menemukan Mac Targeting Ransomware
Pada tanggal 4 Maret 2016, Palo Alto Networks, sebuah perusahaan keamanan terkenal, memposting penemuan ransomware KeRanger yang menginfeksi Transmission, klien Mac BitTorrent yang populer. Malware yang sebenarnya ditemukan dalam installer untuk Transmission versi 2.90.
Situs Transmisi dengan cepat menurunkan installer yang terinfeksi dan mendesak siapa pun yang menggunakan Transmission 2.90 untuk memperbarui ke versi 2.92, yang telah diverifikasi oleh Transmisi agar bebas dari KeRanger.
Transmisi belum membahas bagaimana penginstal yang terinfeksi dapat dihosting di situs web mereka, atau Palo Alto Networks tidak dapat menentukan bagaimana situs Transmisi disusupi.
KeRanger Ransomware
Ransomware KeRanger berfungsi seperti kebanyakan ransomware, dengan mengenkripsi file di Mac Anda, dan kemudian menuntut pembayaran; dalam hal ini, dalam bentuk bitcoin (saat ini bernilai sekitar $ 400) untuk menyediakan Anda dengan kunci enkripsi untuk memulihkan file Anda.
Ransomware KeRanger diinstal oleh Penginstal transmisi yang disusupi. Penginstal ini menggunakan sertifikat pengembang aplikasi Mac yang valid, memungkinkan instalasi ransomware untuk terbang melewati teknologi Gatekeeper OS X , yang mencegah instalasi malware di Mac.
Setelah terinstal, KeRanger menyiapkan komunikasi dengan server jarak jauh di jaringan Tor. Kemudian tidur selama tiga hari. Setelah itu bangun, KeRanger menerima kunci enkripsi dari server jauh dan melanjutkan ke file enkripsi pada Mac yang terinfeksi.
File yang dienkripsi termasuk yang ada di folder / Users, yang menghasilkan sebagian besar file pengguna pada Mac yang terinfeksi menjadi terenkripsi dan tidak dapat digunakan. Selain itu, Palo Alto Networks melaporkan bahwa folder / Volume, yang berisi titik mount untuk semua perangkat penyimpanan terlampir, baik lokal maupun di jaringan Anda, juga merupakan target.
Pada saat ini, ada informasi campuran mengenai backup Time Machine yang dienkripsi oleh KeRanger, tetapi jika folder / Volume ditargetkan, saya tidak melihat alasan mengapa drive Time Machine tidak akan dienkripsi. Tebakan saya adalah bahwa KeRanger adalah potongan ransomware baru sehingga laporan campuran tentang Time Machine hanyalah bug dalam kode ransomware; kadang-kadang berhasil, dan kadang tidak.
Apple Bereaksi
Palo Alto Networks melaporkan ransomware KeRanger ke Apple dan Transmisi. Keduanya bereaksi dengan cepat; Apple mencabut sertifikat pengembang aplikasi Mac yang digunakan oleh aplikasi, sehingga memungkinkan Gatekeeper menghentikan pemasangan lebih lanjut dari KeRanger versi saat ini. Apple juga memperbarui tanda tangan XProject, memungkinkan sistem pencegahan malware OS X mengenali KeRanger dan mencegah instalasi, bahkan jika GateKeeper dinonaktifkan, atau dikonfigurasi untuk pengaturan keamanan rendah.
Transmisi mengeluarkan Transmisi 2.90 dari situs web mereka dan dengan cepat menerbitkan kembali versi Transmisi yang bersih, dengan nomor versi 2.92. Kami juga dapat menganggap mereka mencari tahu bagaimana situs web mereka disusupi, dan mengambil tindakan untuk mencegahnya terjadi lagi.
Cara Menghapus KeRanger
Ingat, mengunduh dan menginstal versi yang terinfeksi dari aplikasi Transmisi saat ini adalah satu-satunya cara untuk mendapatkan KeRanger. Jika Anda tidak menggunakan Transmisi, saat ini Anda tidak perlu khawatir tentang KeRanger.
Selama KeRanger belum mengenkripsi file Mac Anda, Anda memiliki waktu untuk menghapus aplikasi dan mencegah enkripsi terjadi. Jika file Mac Anda sudah dienkripsi, tidak banyak yang bisa Anda lakukan kecuali berharap cadangan Anda belum dienkripsi juga. Ini menunjukkan alasan yang sangat bagus untuk memiliki drive cadangan yang tidak selalu terhubung ke Mac Anda. Sebagai contoh, saya menggunakan Carbon Copy Cloner untuk membuat tiruan mingguan data Mac saya . Perumahan drive yang mengkloning tidak terpasang di Mac saya sampai diperlukan untuk proses kloning.
Jika saya mengalami situasi ransomware, saya bisa pulih dengan memulihkan dari klon mingguan. Satu-satunya penalti untuk menggunakan klon mingguan adalah memiliki file yang bisa sampai satu minggu kedaluwarsa, tapi itu jauh lebih baik daripada membayar sejumlah uang yang jahat.
Jika Anda menemukan diri Anda dalam situasi yang tidak menguntungkan dari KeRanger karena telah menjebaknya, saya tahu tidak ada jalan keluar selain membayar tebusan atau memuat ulang OS X dan memulai kembali dengan instalasi yang bersih .
Hapus Transmisi
Di Finder , arahkan ke / Aplikasi.
Temukan aplikasi Transmisi, lalu klik kanan ikonnya.
Dari menu pop-up, pilih Tampilkan Isi Paket.
Di jendela Finder yang terbuka, arahkan ke / Konten / Sumber Daya /.
Carilah file yang diberi label General.rtf.
Jika file General.rtf hadir, Anda memiliki versi Transmisi yang diinstal terinfeksi. Jika aplikasi Transmisi sedang berjalan, keluar dari aplikasi, seret ke sampah, lalu kosongkan sampah.
Hapus KeRanger
Luncurkan Monitor Aktivitas , yang terletak di / Aplikasi / Utilitas.
Dalam Activity Monitor, pilih tab CPU.
Di dalam bidang pencarian Activity Monitor, masukkan yang berikut:
kernel_servicelalu tekan kembali.
Jika layanan itu ada, itu akan terdaftar di jendela Activity Monitor.
Jika ada, klik ganda nama proses dalam Activity Monitor.
Di jendela yang terbuka, klik tombol Buka File dan Port.
Catat nama path kernel_service; itu akan menjadi sesuatu seperti:
/ users / homefoldername / Library / kernel_servicePilih file, dan kemudian klik tombol Keluar.
Ulangi langkah di atas untuk nama-nama layanan kernel_time dan kernel_complete .
Meskipun Anda keluar dari layanan dalam Activity Monitor, Anda juga perlu menghapus file dari Mac Anda. Untuk melakukannya, gunakan file pathnames yang Anda buat catatan untuk menavigasi ke file kernel_service, kernel_time, dan kernel_complete. (Catatan: Anda mungkin tidak memiliki semua file ini di Mac Anda.)
Karena file yang perlu Anda hapus berada di folder Pustaka folder rumah Anda, Anda harus menjadikan folder khusus ini terlihat. Anda dapat menemukan petunjuk cara melakukannya di OS X Apakah Menyembunyikan artikel Folder Perpustakaan Anda .
Setelah Anda memiliki akses ke folder Perpustakaan, hapus file yang disebutkan di atas dengan menyeretnya ke sampah, lalu klik kanan ikon tempat sampah, dan pilih Empty Trash.