Palo Alto Networks Ransomware Targeting Macs
4 मार्च, 2016 मा पालो अल्टो नेटवर्क, एक ज्ञात सुरक्षा फर्म, कोरेन्जर ransomware संक्रमण संक्रमण को आफ्नो खोज पोस्ट, लोकप्रिय मैक BitTorrent क्लाइन्ट। वास्तविक मालवेयर ट्राफिक संस्करण 2.90 को लागी स्थापनाकर्ता भित्र फेला पर्यो।
ट्रांसमिशन वेबसाइटले छिट्टै संक्रामक स्थापनाकर्तालाई हटाउनुभयो र 2.92 संस्करणको अद्यावधिक गर्न ट्राफिक 2.90 को लागी कसैलाई आग्रह गर्दै हुनुहुन्छ, जुन ट्राफिकेशनद्वारा केआरआरएजरबाट निस्क्रिय गरिएको छ।
ट्रांसमिशनले छलफल गरेको छैन कि कसरी संक्रमित स्थापनाकर्तालाई उनीहरूको वेबसाइटमा होस्ट गर्न सकिएन, न त पलो अल्टो सञ्जालले कसरी ट्रांजिशन साइट सम्झौता गरिएको थियो भनेर निर्धारण गर्न सक्षम भयो।
KeRanger Ransomware
KeRanger ransomware को रूप मा अधिक ransomware काम गर्दछ तपाईंको फाइल मा एन्क्रिप्टिंग गरेर, र फेरि भुगतान को मांग; यस अवस्थामा, बिटकोइनको रूपमा (वर्तमानमा $ 400 वरपर मूल्यवान) तपाईंको एन्क्रिप्शन कुञ्जीलाई तपाईंको फाइलहरू पुनःप्राप्त गर्नको लागि प्रदान गर्न।
KeRanger ransomware लाई सम्झौता ट्रांजिट स्थापनाकर्ताद्वारा स्थापित गरिएको छ। स्थापनाकर्ताले मान्य म्याक एप विकासकर्ता प्रमाणपत्रको प्रयोग गर्दछ, रान्ससोवेयरको अतीत ओएस एक्सको गेटकेपर टेक्नोलोजी उडान गर्न अनुमति दिन्छ, जसले म्याकमा मालवेयर स्थापनालाई रोक्छ।
एकपटक स्थापना भएपछि, क्यारेन्जरले टोर नेटवर्कमा रिमोट सर्भरसँग संचार सेट अप गर्दछ। त्यसपछि तीन दिनसम्म सुत्न जान्छ। एक पल्ट यो जागिर भएपछि, केरेन्जरले इन्क्रिप्शन कुञ्जी रिमोट सर्भरबाट प्राप्त गर्दछ र संक्रमित म्याकमा फाइलहरू एन्क्रिप्ट गर्न आय प्राप्त गर्दछ।
एन्क्रिप्टेड फाईलहरू यसमा प्रयोगकर्ताहरू / प्रयोगकर्ता फोल्डरहरू समावेश गर्दछ, जुन संक्रमित म्याकमा धेरै प्रयोगकर्ता फाइलहरू परिणामहरू इन्क्रिप्ट गरिएको र प्रयोग योग्य नहुन सक्छ। यसबाहेक, पालो अल्टो सञ्जालले रिपोर्ट गर्दछ कि / भोल्यूम फोल्डर, जुन सबै संलग्न भण्डारण उपकरणहरूको लागि माउन्ट पोइन्ट समावेश गर्दछ जुन स्थानीय र तपाइँको सञ्जालमा दुवै लक्ष्य हो।
यस समयमा, क्यारेन्जरद्वारा इन्क्रिप्ट गरिएको समय मेसिन ब्याकअपको बारेमा मिश्रित जानकारी छ, तर यदि / फोल्डर फोल्डर लक्षित हुन्छ भने, मलाई कुनै कारण छैन कि टाइम टाइम ड्राइभ एन्क्रिप्टेड हुँदैन। मेरो अनुमान छ कि केरेन्जर ransomware को एक नयाँ टुकडा हो कि समय मिसिन को बारे मा मिश्रित रिपोर्ट बस ransomware कोड मा एक बग हो; कहिलेकाहिँ यसले काम गर्दछ, र कहिलेकाहीँ यो गर्दैन।
Apple Reacts
पालो अल्टो सञ्जालले एप्पल र ट्राफिकेशनको लागि KeRanger ransomware लाई रिपोर्ट गर्यो। ती दुवैलाई तुरुन्तै प्रतिक्रिया गरियो। एप्पलले एप्पद्वारा प्रयोग गरिएको म्याक एप विकासकर्ता प्रमाणपत्र रद्द गर्यो, यसैले गेटकेपरलाई केरेनजरको हालको संस्करणको थप स्थापनाहरू रोक्न अनुमति दिईयो। एप्पलले XProject हस्ताक्षरहरू पनि अद्यावधिक गरेको छ, जसले ओएस एक्स मालवेयर रोकथाम प्रणाली KeRanger पहिचान गर्न र स्थापना रोक्न अनुमति दिन्छ, भित्री गेटकापर असक्षम भए तापनि, वा कम-सुरक्षा सेटिङको लागि कन्फिगर गरिएको छ।
ट्राफिकेशनले उनको वेबसाइटबाट ट्राफिकेशन 2.90 हटाइयो र चाँडै 2.92 संस्करणको संस्करणको साथ ट्रान्समिशनको सफ्टवेयरको संस्करण पुन: दियो। हामी पनि उनीहरूको वेबसाइट कसरी सम्झौता गरिएको थियो भनेर हेर्छन्, र पुन: हुनबाट रोक्न उपायहरू लिन सक्छौं।
KeRanger कसरी हटाउने?
सम्झनुहोस्, ट्राफिक एपको संक्रमित संस्करण डाउनलोड र स्थापना गर्न हाल KeRanger प्राप्त गर्ने एकमात्र तरिका हो। यदि तपाईंले ट्राफिकेशन प्रयोग गर्नुभएन भने, तपाइँ हाललाई केआरएन्जरको बारेमा चिन्तित गर्नुपर्दैन।
जबसम्म केरेन्जरले तपाईंको म्याकका फाइलहरू एन्क्रिप्टेड नभएसम्म, तपाईं सँग अनुप्रयोग हटाउन र इन्क्रिप्सन रोक्न रोक्न समय छ। यदि तपाईंको म्याकका फाईलहरू पहिले नै एन्क्रिप्टेड छन् भने, आशा छ बाहेक तपाईं आफ्नो ब्याकअप इन्क्रिप्सन भएको पनि छैन। यो जगेडा ड्राइवको लागि जुन तपाईंको म्याकमा जडित छैन भन्ने एक राम्रो कारण हो। उदाहरणको रूपमा, म कार्बन प्रतिलिपि क्लोनर प्रयोग गर्दछ मेरो म्याकको डेटाको साप्ताहिक क्लोन बनाउन । ड्राइभ आवास जुन क्लोन मेरो म्याकमा माउन्ट गरिएको छैन जब सम्म क्लोनिंग प्रक्रियाको लागि आवश्यक पर्दछ।
यदि मैले एक ransomware स्थिति मा दौडें भने, म साप्ताहिक क्लोन देखि पुनर्स्थापित गरेर प्राप्त गर्न सक्छ। साप्ताहिक क्लोन प्रयोग गर्नको लागी एकमात्र दण्ड मिति हो कि मिति बाहिर एक हप्ता सम्म हुन सक्ने फाईलहरू हो, तर केहि नराम्रो क्रूसमा छुट दिने भन्दा धेरै राम्रो छ।
यदि तपाई आफैंलाई केरिन्गको दुर्भाग्यवस्थित अवस्थामा फेला पार्नुहुन्छ भने पहिले नै यो जाल निकाल्नु हो, म पनि छुटकारा तिर्न वा ओएस एक्स पुन: लोड गर्ने र सफ्ट स्थापितसँग सुरू गर्नु भन्दा अन्यथा भन्दा बाहिरको थाहा छैन।
ट्राफिकेशन हटाउनुहोस्
खोजीकर्तामा , नेभिगेट / अनुप्रयोगहरू नेभिगेट गर्नुहोस्।
ट्राफिकेशन एप पत्ता लगाउनुहोस्, र त्यसपछि यसको आइकन दाँया क्लिक गर्नुहोस्।
पप-अप मेनूबाट, प्याकेज सामग्रीहरू देखाउनुहोस्।
फेला पार्ने सञ्झ्यालमा खोलिएको छ, नेभिगेट / सामग्री / संसाधन / मा।
General.rtf लेबल गरिएको फाइलको लागि हेर्नुहोस्।
यदि सामान्य.rtf फाइल उपस्थित छ भने, तपाइँसँग ट्राफिकको संक्रमित संस्करण स्थापना गरिएको छ। यदि ट्राफिकेशन एप चलिरहेको छ भने, अनुप्रयोगबाट निस्कनुहोस्, यसलाई रद्दीटोकरीमा तान्नुहोस्, र रद्दीटोकरी खाली गर्नुहोस्।
KeRanger हटाउनुहोस्
अनुप्रयोग / उपयोगिताहरूमा अवस्थित गतिविधि गतिविधि सुरूवात गर्नुहोस् ।
गतिविधि मनिटरमा, CPU ट्याब चयन गर्नुहोस्।
गतिविधि मनिटरको खोज फिल्डमा, निम्न प्रविष्ट गर्नुहोस्:
kernel_serviceर त्यसपछि रिटर्न थिच्नुहोस्।
यदि सेवा अवस्थित छ भने यो गतिविधि मनिटरको सञ्झ्यालमा सूचीबद्ध गरिनेछ।
यदि वर्तमान भने, प्रक्रिया मोनिटरमा प्रक्रियाको नाम डबल-क्लिक गर्नुहोस्।
विन्डो खोलिएको छ, फाइल खोल्नुहोस् र पोर्ट बन्द गर्नुहोस्।
केर्नेल_service पथनामको एक नोट बनाउनुहोस्; यो सम्भवतया केहि हुनेछ:
/ प्रयोगकर्ताहरू / homefoldername / library / kernel_serviceफाइल चयन गर्नुहोस्, र त्यसपछि बन्द बटन क्लिक गर्नुहोस्।
माथिको कर्नेल_ समय र कर्नेल_ पूर्ण सेवा नामका लागि दोहोर्याउनुहोस्।
यद्यपि तपाईं गतिविधि मनिटर भित्र सेवाहरू छोड्नु भयो, तपाईले पनि तपाईको म्याकको फाइलहरू मेटाउन आवश्यक पर्दछ। त्यसो गर्नका लागि, फाइल पाना नामहरू प्रयोग गर्नुभएमा तपाईंले कुन कर्नेल_service, kernel_time, र kernel_complete फाइलहरूमा नेविगेट गर्न नोट गर्नुभयो। (नोट: तपाइँसँग तपाइँको म्याकमा यी सबै फाइलहरू उपस्थित नहुन सक्दछ।)
तपाईंले मेटाउनु पर्ने फाईलहरू तपाईंको गृह फोल्डरको पुस्तकालय फोल्डरमा अवस्थित हुनाले, तपाइँलाई यो विशेष फोल्डर दृश्यात्मक बनाउन आवश्यक पर्दछ। तपाईले यो ओएस एक्समा तपाईको पुस्तकालय फोल्डर लेख लुकाइरहेको छ कसरी गर्नका लागि निर्देशन पाउन सक्नुहुन्छ।
एकपटक तपाईं पुस्तकालय फोल्डरमा पहुँच भएपछि, माथि उल्लेख गरिएका फाईलहरूलाई रद्दीटोकरीमा तान्नुहोस्, त्यसपछि रद्दी प्रतिमा दायाँ क्लिक गर्नुहोस्, र खाली रद्दी टोकरी चयन गर्नुहोस्।