في 4 مارس 2016 ، نشرت Palo Alto Networks ، وهي شركة أمنية مشهورة ، اكتشافها لـ KeRanger ransomware infecting Transmission ، وهو عميل Mac BitTorrent الشهير. تم العثور على البرامج الضارة الفعلية داخل برنامج التثبيت لإصدار Transmission 2.90.
وسرعان ما قام موقع الإرسال بنقل المثبت المصاب بالعدوى ، وحث أي شخص يستخدم الإرسال 2.90 على التحديث إلى الإصدار 2.92 ، والذي تم التحقق منه من خلال ناقل الحركة ليكون خاليًا من KeRanger.
لم تناقش عملية الإرسال كيف تم استضافة برنامج التثبيت المصاب على موقعه على الويب ، ولم تتمكن Palo Alto Networks من تحديد كيفية اختراق موقع الإرسال.
KeRanger Ransomware
يعمل KeRanger Ransomware كما يفعل معظم ransomware ، بتشفير الملفات على جهاز Mac الخاص بك ، ثم المطالبة بالسداد ؛ في هذه الحالة ، على شكل بيتكوين (تقدر قيمته حاليًا بحوالي 400 دولار) لتزويدك بمفتاح التشفير لاسترداد ملفاتك.
يتم تثبيت KeRanger Ransomware بواسطة مثبت Transmissioned للخطر. يستفيد المُثبِّت من شهادة مطور تطبيق Mac صالحة ، مما يسمح بتثبيت برنامج Ransomware لتجاوز تقنية OS X‚Äôs Gatekeeper ، التي تمنع تثبيت البرامج الضارة على جهاز Mac.
بمجرد تثبيته ، يقوم KeRanger بإعداد اتصال مع خادم بعيد على شبكة Tor. ثم يذهب للنوم لمدة ثلاثة أيام. بمجرد أن تستيقظ ، يتلقى KeRanger مفتاح التشفير من الخادم البعيد ويتابع لتشفير الملفات على جهاز Mac المصاب.
تتضمن الملفات المشفرة تلك الموجودة في المجلد / Users ، مما يؤدي إلى أن تصبح معظم ملفات المستخدم على جهاز Mac المصاب مشفرة وغير قابلة للاستخدام. بالإضافة إلى ذلك ، تفيد Palo Alto Networks أن مجلد / Volumes ، الذي يحتوي على نقطة التحميل لكافة أجهزة التخزين المرفقة ، على كل من الشبكة المحلية والشبكة الخاصة بك ، هو أيضًا هدف.
في هذا الوقت ، هناك معلومات مختلط حول النسخ الاحتياطية لـ Machine Machine التي يتم تشفيرها بواسطة KeRanger ، ولكن إذا تم استهداف المجلد / Volumes ، لا أرى أي سبب لعدم تشفير محرك أقراص Time Machine. تخميني هو أن KeRanger هو قطعة جديدة من رانسومواري أن التقارير المختلطة عن آلة الزمن هي مجرد خلل في رمز رانسومواري ؛ في بعض الأحيان يعمل ، وأحيانا لا يعمل.
أبل تتفاعل
أفادت Palo Alto Networks عن رانسومواري KeRanger إلى كل من Apple و Transmission. كلاهما استجاب بسرعة؛ ألغت Apple شهادة مطور تطبيق Mac التي يستخدمها التطبيق ، مما يسمح لـ Gatekeeper بوقف عمليات التثبيت الإضافية للإصدار الحالي من KeRanger. كما قامت Apple بتحديث توقيعات XProject ، مما يسمح لنظام الوقاية من البرامج الضارة OS X بالتعرف على KeRanger ومنع التثبيت ، حتى إذا تم تعطيل GateKeeper ، أو تم تكوينه لإعداد منخفض الأمان.
وقد أزال ناقل الحركة الإرسال 2.90 من موقعه على الويب وأعيد إصدار إصدار نظيف من الإرسال بسرعة ، مع رقم إصدار 2.92. يمكننا أيضًا أن نفترض أنهم يبحثون في كيفية اختراق موقعهم على الويب ، واتخاذ إجراءات لمنع حدوثه مرة أخرى.
كيفية إزالة KeRanger
تذكر ، تنزيل وتثبيت النسخة المصابة من تطبيق Transmission هو الطريقة الوحيدة حاليًا للحصول على KeRanger. إذا كنت لا تستخدم الإرسال ، فلا داعي للقلق حاليًا بشأن KeRanger.
طالما لم يقم KeRanger بتشفير ملفات Mac الخاصة بك حتى الآن ، لديك الوقت لإزالة التطبيق ومنع التشفير من الحدوث. إذا كانت ملفات Mac‚Äs الخاصة بك مشفرة بالفعل ، فليس هناك الكثير مما يمكنك القيام به ، ما عدا الأمل في عدم تشفير نسخك الاحتياطية كذلك. يشير ذلك إلى سبب جيد جدًا لوجود محرك أقراص احتياطي غير متصل دائمًا بجهاز Mac. على سبيل المثال ، أستخدم Carbon Copy Cloner لعمل نسخة أسبوعية من بيانات Mac‚Äôs الخاصة بي. لا يتم تثبيت مبيت محرك الأقراص الذي تم نسخه على جهاز Mac إلى أن تكون هناك حاجة إليه لعملية الاستنساخ.
إذا كنت قد واجهت حالة الفدية ، يمكن أن استردت عن طريق استعادة من استنساخ الأسبوعية. العقوبة الوحيدة لاستخدام النسخ الأسبوعية هي وجود الملفات التي قد تصل إلى أسبوع واحد ، ولكن هذا أفضل بكثير من دفع بعض cretin الشرير إلى فدية.
إذا وجدت نفسك في موقف مؤسف من KeRanger بعد أن نشأت بالفعل شركه ، وأنا لا أعرف أي وسيلة أخرى بخلاف دفع الفدية أو إعادة تحميل OS X والبدء من جديد مع تثبيت نظيف.
إزالة الإرسال
في Finder ، انتقل إلى / Applications.
ابحث عن تطبيق الإرسال ، ثم انقر بزر الماوس الأيمن على رمزه.
من القائمة المنبثقة ، حدد Show Package Contents.
في نافذة الباحث التي تفتح ، انتقل إلى / المحتويات / الموارد /.
ابحث عن الملف المسمى General.rtf.
إذا كان الملف General.rtf موجودًا ، فلديك نسخة مصابة من ناقل الحركة مثبت. إذا كان تطبيق الإرسال قيد التشغيل ، فعليك إنهاء التطبيق ، ثم سحبه إلى المهملات ، ثم تفريغ المهملات.
إزالة KeRanger
بدء تشغيل Activity Monitor ، الموجود في / Applications / Utilities.
في Activity Monitor ، حدد علامة التبويب CPU.
في حقل البحث في Activity Monitor ، أدخل ما يلي:
kernel_service
ثم اضغط على العودة.
إذا كانت الخدمة موجودة ، سيتم إدراجها في نافذة Activity Monitor‚Äôs.
إذا كان موجودًا ، فانقر نقرًا مزدوجًا فوق اسم العملية في Activity Monitor.
في النافذة التي تفتح ، انقر فوق الزر فتح الملفات والمنافذ.
قم بتدوين اسم مسار kernel_service ؛ من المحتمل أن يكون شيء مثل:
/ المستخدمين / homefoldername / المكتبة / kernel_service
حدد الملف ، ثم انقر فوق الزر "إنهاء".
كرر ما سبق من أجل kernel_time و kernel_complete أسماء الخدمة.
على الرغم من أنك تخليت عن الخدمات داخل Activity Monitor ، فإنك تحتاج أيضًا إلى حذف الملفات من جهاز Mac الخاص بك. للقيام بذلك ، استخدم أسماء الملفات التي قمت بتدوينها للتنقل إلى ملفات kernel_service و kernel_time و kernel_complete. (ملاحظة: قد لا يكون لديك كل هذه الملفات موجودة على جهاز Mac الخاص بك.)
نظرًا لأن الملفات التي تحتاج إلى حذفها موجودة في مجلد Library للمجلد المنزلي ، فستحتاج إلى جعل هذا المجلد الخاص مرئيًا. يمكنك العثور على تعليمات حول كيفية القيام بذلك في OS X Is Hiding Your Library Folder article.
بمجرد الوصول إلى مجلد Library ، قم بحذف الملفات المذكورة أعلاه عن طريق سحبها إلى المهملات ، ثم النقر بزر الماوس الأيمن فوق رمز سلة المهملات ، وتحديد Empty Trash.
