Rhwydweithiau Palo Alto yn Gwrthwynebu Ransomware Targedu Macs
Ar Fawrth 4, 2016, roedd Palo Alto Networks, cwmni diogelwch adnabyddus, wedi cyhoeddi ei ddarganfod o KeRanger ransomware heintio Transmission, y cleient poblogaidd Mac BitTorrent. Cafwyd y malware gwirioneddol o fewn y gosodwr ar gyfer fersiwn Trosglwyddo 2.90.
Fe wnaeth y wefan Drawsnewid ostwng y gosodwr heintiedig yn gyflym ac mae'n annog unrhyw un sy'n defnyddio Trosglwyddo 2.90 i'w ddiweddaru i fersiwn 2.92, sydd wedi'i wirio gan Transmission i fod yn rhydd o KeRanger.
Nid yw trosglwyddo wedi trafod sut y gellid cynnal y gosodwr heintiedig ar eu gwefan, ac nid yw Palo Alto Networks wedi gallu penderfynu sut y cafodd y safle Trosglwyddo ei beryglu.
KeRanger Ransomware
Mae'r ransomware KeRanger yn gweithio fel y rhan fwyaf o ransomware yn ei wneud, trwy amgryptio ffeiliau ar eich Mac, ac wedyn yn gofyn am daliad; yn yr achos hwn, ar ffurf bitcoin (ar hyn o bryd yn cael ei werthfawrogi o gwmpas $ 400) i roi'r allwedd amgryptio i chi i adfer eich ffeiliau.
Mae'r ransomware KeRanger yn cael ei osod gan y gosodwr Trosglwyddo cyfaddawd. Mae'r gosodwr yn gwneud defnydd o dystysgrif datblygwr app dilys Mac, gan ganiatáu gosod y ransomware i hedfan heibio technoleg Gate Xep's OS , sy'n atal gosod malware ar y Mac.
Ar ôl ei osod, mae KeRanger yn sefydlu cyfathrebu â gweinydd pell ar rwydwaith Tor. Yna mae'n mynd i gysgu am dri diwrnod. Unwaith y bydd yn deffro, bydd KeRanger yn derbyn yr allwedd amgryptio o'r gweinydd pell ac yn mynd i amgryptio ffeiliau ar y Mac heintiedig.
Mae'r ffeiliau sydd wedi'u hamgryptio yn cynnwys y rheiny yn y ffolder / Defnyddwyr, sy'n arwain at y rhan fwyaf o ffeiliau defnyddiwr ar y Mac heintiedig yn cael ei amgryptio ac na ellir ei ddefnyddio. Yn ogystal, mae Palo Alto Networks yn adrodd bod y ffolder / Volumes, sy'n cynnwys y pwynt mynydd ar gyfer yr holl ddyfeisiadau storio cysylltiedig, yn lleol ac ar eich rhwydwaith, hefyd yn darged.
Ar hyn o bryd, mae gwybodaeth gymysg ynglŷn â chopïau wrth gefn Amser Peiriant yn cael eu hamgryptio gan KeRanger, ond os yw'r ffolder / Volumes yn cael ei dargedu, ni welaf unrhyw reswm pam na fyddai gyrrwr Peiriant Amser yn cael ei amgryptio. Fy dyfalu yw bod KeRanger yn ddarn newydd o ransomware bod yr adroddiadau cymysg am Time Machine yn syml yn unig yn y cod ransomware; weithiau mae'n gweithio, ac weithiau nid yw'n gwneud hynny.
Apple Reacts
Rhwydweithiau Palo Alto Adroddodd yr ransomware KeRanger i Apple a Throsglwyddo. Ymatebodd y ddau yn gyflym; Diddymodd Apple y dystysgrif datblygwr app Mac a ddefnyddiwyd gan yr app, gan ganiatáu i Gatekeeper rwystro gosodiadau pellach o'r fersiwn bresennol o KeRanger. Diweddarodd Apple hefyd lofnodion XProject, gan ganiatáu i'r system atal malware OS OS gydnabod KeRanger ac atal gosodiad, hyd yn oed os yw GateKeeper yn anabl, neu wedi'i ffurfweddu ar gyfer lleoliad diogelwch isel.
Tynnwyd y trosglwyddiad i Drosglwyddo 2.90 oddi ar eu gwefan ac ailddosbarthwyd yn gyflym fersiwn glân o Drosglwyddo, gyda rhif fersiwn 2.92. Gallwn hefyd gymryd yn ganiataol eu bod yn ystyried sut y cafodd eu gwefan ei beryglu, a chymryd camau i'w hatal rhag digwydd eto.
Sut i Dynnu KeRanger
Cofiwch, mae lawrlwytho a gosod fersiwn heintiedig yr app Trosglwyddo ar hyn o bryd yr unig ffordd i gaffael KeRanger. Os nad ydych yn defnyddio Trosglwyddo, nid oes angen i chi boeni am KeRanger ar hyn o bryd.
Cyn belled nad yw KeRanger wedi amgryptio ffeiliau eich Mac eto, mae gennych amser i gael gwared ar yr app ac atal yr amgryptio rhag digwydd. Os yw ffeiliau eich Mac eisoes wedi eu hamgryptio, nid oes llawer y gallwch ei wneud ac eithrio gobeithio nad yw eich copïau wrth gefn wedi cael eu hamgryptio hefyd. Mae hyn yn nodi rheswm da dros gael gyriant wrth gefn nad yw bob amser wedi'i gysylltu â'ch Mac. Fel enghraifft, yr wyf yn defnyddio Carbon Copy Cloner i wneud clon wythnosol o ddata fy Mac . Mae'r gyriant tai nad yw'r clon wedi'i osod ar fy Mac hyd nes y bydd ei angen ar gyfer y broses clonio.
Pe bawn wedi mynd i mewn i sefyllfa ransomware, gallwn i wedi gwella trwy adfer o'r clon wythnosol. Yr unig gosb am ddefnyddio'r clon wythnosol yw cael ffeiliau a allai fod hyd at un wythnos yn ddi-oed, ond mae hynny'n llawer gwell na thalu rhywfaint o gredin niweidiol yn bridwerth.
Os cewch chi'ch hun yn y sefyllfa anffodus mae KeRanger wedi codi ei drap eisoes, ni wn am ddim allan heblaw am naill ai talu'r pridwerth neu ail-lwytho OS X a dechrau gyda gosodiad glân .
Dileu Trosglwyddo
Yn y Finder , ewch i'r / Ceisiadau.
Dewch o hyd i'r app Trosglwyddo, ac yna cliciwch ar y dde yn ei eicon.
O'r ddewislen pop-up, dewiswch Cynnwys Pecyn Dangos.
Yn y ffenestr Finder sy'n agor, cyfeiriwch at / Cynnwys / Adnoddau /.
Chwiliwch am ffeil General.rtf wedi'i labelu.
Os yw'r ffeil General.rtf yn bresennol, mae gennych fersiwn heintiedig o Drosglwyddo wedi'i osod. Os yw'r app Trosglwyddo yn rhedeg, gadewch yr app, llusgwch ef i'r sbwriel, ac yna gwagwch y sbwriel.
Dileu KeRanger
Lansio Monitor Gweithgaredd , wedi'i leoli yn / Ceisiadau / Cyfleustodau.
Yn Activity Monitor, dewiswch y tab CPU.
Ym maes chwilio Gweithgaredd Monitor, rhowch y canlynol:
cernel_serviceac yna wasgu dychwelyd.
Os yw'r gwasanaeth yn bodoli, fe'i rhestrir yn ffenestr Gweithgaredd Monitor.
Os yw'n bresennol, cliciwch ddwywaith ar enw'r broses yn Activity Monitor.
Yn y ffenestr sy'n agor, cliciwch ar y botwm Agor Ffeiliau a Phorthladdoedd.
Gwnewch nodyn o enw'r llwybr kernel_service; mae'n debyg y bydd rhywbeth fel:
/ defnyddwyr / homefoldername / Library / kernel_serviceDewiswch y ffeil, ac yna cliciwch ar y botwm Deit.
Ailadroddwch yr uchod ar gyfer enwau'r gwasanaeth kernel_time a kernel_complete .
Er eich bod yn rhoi'r gorau i'r gwasanaethau o fewn Activity Monitor, mae angen i chi hefyd ddileu'r ffeiliau oddi wrth eich Mac. I wneud hynny, defnyddiwch y enwau llwybr ffeiliau a wnaethoch chi nodi i fynd i'r cnewyllyn_service, kernel_time, a ffeiliau kernel_complete. (Noder: Efallai nad oes gennych yr holl ffeiliau hyn ar eich Mac.)
Gan fod y ffeiliau y mae angen i chi eu dileu wedi'u lleoli yn y ffolder Llyfrgell eich ffolder cartref, bydd angen i chi wneud y ffolder arbennig hwn yn weladwy. Gallwch ddod o hyd i gyfarwyddiadau ar gyfer sut i wneud hyn yn erthygl Ffolder Cuddio Eich Llyfrgell OS X.
Ar ôl i chi gael mynediad at blygell y Llyfrgell, dilëwch y ffeiliau uchod trwy eu llusgo i'r sbwriel, yna cliciwch ar y dde yn yr eicon sbwriel, a dethol 'Trashwch Gwag'.