KeRanger: The First Ransomware Targeting Macs

Ransomware: Computer-Erpresser zielen auch auf Mac-Nutzer - corporate (Juni- 2026)

Ransomware: Computer-Erpresser zielen auch auf Mac-Nutzer - corporate (Juni- 2026)
Anonim

Op 4 maart 2016 publiceerde Palo Alto Networks, een bekend beveiligingsbedrijf, zijn ontdekking van KeRanger ransomware die Transmission infecteert, de populaire Mac BitTorrent-client. De daadwerkelijke malware is aangetroffen in het installatieprogramma voor Transmission-versie 2.90.

De Transmission-website heeft het geïnfecteerde installatieprogramma snel verwijderd en spoort iedereen aan die Transmission 2.90 gebruikt om bij te werken naar versie 2.92, die door Transmission is geverifieerd om vrij te zijn van KeRanger.

Transmission heeft niet besproken hoe het geïnfecteerde installatieprogramma op hun website kon worden gehost, noch heeft Palo Alto Networks kunnen vaststellen hoe de transmissielocatie werd aangetast.

KeRanger Ransomware

De KeRanger ransomware werkt zoals de meeste ransomware doet, door bestanden op je Mac te coderen en vervolgens betaling te eisen; in dit geval, in de vorm van een bitcoin (momenteel gewaardeerd rond $ 400) om u de coderingssleutel te geven om uw bestanden te herstellen.

De KeRanger ransomware wordt geïnstalleerd door het gecompromitteerde Transmission-installatieprogramma. Het installatieprogramma maakt gebruik van een geldig Mac-app-ontwikkelaarscertificaat, waardoor de installatie van de ransomware voorbij de Xekeeper-technologie van OS X kan vliegen, wat de installatie van malware op de Mac voorkomt.

Eenmaal geïnstalleerd, stelt KeRanger de communicatie in met een externe server op het Tor-netwerk. Het gaat dan drie dagen slapen. Zodra het ontwaakt, ontvangt KeRanger de coderingssleutel van de externe server en gaat hij verder met het coderen van bestanden op de geïnfecteerde Mac.

De gecodeerde bestanden omvatten die in de map / Gebruikers, waardoor de meeste gebruikersbestanden op de geïnfecteerde Mac versleuteld worden en niet bruikbaar zijn. Bovendien rapporteert Palo Alto Networks dat de map / Volumes, die het koppelpunt bevat voor alle aangesloten opslagapparaten, zowel lokaal als op uw netwerk, ook een doelwit is.

Op dit moment is er gemengde informatie over back-ups van Time Machine die worden gecodeerd door KeRanger, maar als de map / Volumes is getarget, zie ik geen reden waarom een ​​Time Machine-schijf niet zou worden gecodeerd. Mijn gok is dat KeRanger zo'n nieuw stuk ransomware is dat de gemengde rapporten over Time Machine gewoon een fout in de ransomware-code zijn; soms werkt het, en soms doet het dat niet.

Apple reageert

Palo Alto Networks rapporteerde de KeRanger ransomware aan zowel Apple als Transmission. Beiden reageerden snel; Apple herriep het door de app gebruikte ontwikkelaarscertificaat voor de Mac-app, waardoor Gatekeeper verdere installaties van de huidige versie van KeRanger kon stoppen. Apple heeft ook XProject-handtekeningen bijgewerkt, waardoor het OS X-malwarespreventiesysteem KeRanger kan herkennen en installatie kan voorkomen, zelfs als GateKeeper is uitgeschakeld of is geconfigureerd voor een zwak beveiligde instelling.

Verzending verwijderd Transmissie 2.90 van hun website en snel een schone versie van Transmission opnieuw uitgegeven, met een versienummer van 2.92. We kunnen ook aannemen dat ze onderzoeken hoe hun website is gecompromitteerd en dat ze maatregelen nemen om te voorkomen dat dit opnieuw gebeurt.

Hoe KeRanger te verwijderen

Onthoud dat het downloaden en installeren van de geïnfecteerde versie van de Transmission-app momenteel de enige manier is om KeRanger te verwerven. Als u Transmission niet gebruikt, hoeft u zich momenteel geen zorgen te maken over KeRanger.

Zolang KeRanger de bestanden van je Mac nog niet heeft versleuteld, heb je tijd om de app te verwijderen en te voorkomen dat de codering optreedt. Als de bestanden van je Mac al zijn gecodeerd, kun je niet veel doen, behalve dan hopen dat je back-ups ook niet zijn gecodeerd. Dit is een zeer goede reden om een ​​back-upschijf te hebben die niet altijd is verbonden met je Mac. Als voorbeeld gebruik ik Carbon Copy Cloner om een ​​wekelijkse kloon van mijn Macs-gegevens te maken. De schijfbehuizing die kloont, is niet op mijn Mac gemonteerd totdat deze nodig is voor het kloonproces.

Als ik een ransomware-situatie tegengekomen was, had ik me kunnen herstellen door de wekelijkse kloon te herstellen. De enige straf voor het gebruik van de wekelijkse kloon is het hebben van bestanden die maximaal een week oud kunnen zijn, maar dat is veel beter dan het betalen van een of andere kwaadwillige cretin als losgeld.

Als je merkt dat je in de ongelukkige situatie zit dat KeRanger al in de val gelopen is, weet ik dat er geen andere uitweg is dan het losgeld betalen of OS X opnieuw laden en opnieuw beginnen met een schone installatie.

Transmissie verwijderen

Navigeer in de Finder naar / Toepassingen.

Zoek de Transmissie-app en klik met de rechtermuisknop op het pictogram.

Selecteer Show Package Contents in het pop-upmenu.

Ga in het Finder-venster dat wordt geopend naar / Contents / Resources /.

Zoek naar een bestand met de naam General.rtf.

Als het bestand General.rtf aanwezig is, hebt u een geïnfecteerde versie van Transmission geïnstalleerd. Als de Transmissie-app actief is, sluit u de app af, sleept u deze naar de prullenbak en maakt u de prullenbak leeg.

Verwijder KeRanger

Start Activity Monitor, te vinden op / Applications / Utilities.

Selecteer in Activity Monitor het tabblad CPU.

Voer in het zoekveld van Activity Monitor het volgende in:

kernel_service

en druk vervolgens op Return.

Als de service bestaat, wordt deze weergegeven in het venster Activiteitsmonitor.

Dubbelklik indien aanwezig op de procesnaam in Activity Monitor.

Klik in het geopende venster op de knop Bestanden en poorten openen.

Noteer de kernel_service padnaam; het zal waarschijnlijk zoiets zijn als:

/ Users / homefoldername / Library / kernel_service

Selecteer het bestand en klik vervolgens op de knop Sluiten.

Herhaal het bovenstaande voor de kernel_time en kernel_complete servicenamen.

Hoewel u de services in Activity Monitor hebt afgesloten, moet u ook de bestanden van uw Mac verwijderen. Om dit te doen, gebruikt u de bestandspadnamen die u hebt genoteerd om naar de kernel_service-, kernel_time- en kernel_complete-bestanden te navigeren. (Opmerking: misschien heb je niet al deze bestanden op je Mac staan.)

Omdat de bestanden die u moet verwijderen zich bevinden in de map Bibliotheek van uw hoofdmap, moet u deze speciale map zichtbaar maken. U kunt instructies vinden over hoe u dit kunt doen in het artikel OS X Is Hiding Your Library Folder.

Zodra u toegang hebt tot de map Bibliotheek, verwijdert u de bovengenoemde bestanden door ze naar de prullenbak te slepen, vervolgens met de rechtermuisknop op het prullenbakpictogram te klikken en Lege prullenbak te selecteren.

5 Open Source First-Person Shooters-videogames

5 Open Source First-Person Shooters-videogames

Ontdek de vijf beste open-source first-person shooters zoals Sauerbraten en Xonotic die beschikbaar zijn voor meerdere besturingssystemen.

Battlefield Series - First Person Shooter PC Games

Battlefield Series - First Person Shooter PC Games

Battlefield first-person shooters-franchise voor videogames met meer dan dertig volledige releases, uitbreidingen en downloadbare contentpakketten.

Herstel de drives van uw Mac met First Aid van Disk Utility

Herstel de drives van uw Mac met First Aid van Disk Utility

De EHBO-functie van Schijfhulpprogramma veranderde met OS X El Capitan, maar het kan nog steeds veel van de schijfproblemen die u tegenkomt, controleren en repareren.

Editor'S Choice