Palo Alto Networks在蘋果OS X平臺(tái)上發(fā)現(xiàn)首個(gè)全功能勒索軟件KeRanger

    【移動(dòng)通信網(wǎng)】3月4日,用于蘋果操作系統(tǒng)MacOSX客戶端的BitTorrent客戶端安裝程序在發(fā)布幾個(gè)小時(shí)后,我們偵測(cè)到其已被勒索軟件感染,并將其命名為“KeRanger”。之前唯一為公眾所熟知的針對(duì)OSX的勒索軟件為FileCoder,由卡巴斯基實(shí)驗(yàn)室于2014年發(fā)現(xiàn),由于在發(fā)現(xiàn)的時(shí)候FileCoder尚不完整,所以我們認(rèn)為KeRanger是在OSX平臺(tái)上被發(fā)現(xiàn)的首個(gè)全功能勒索軟件。

    3月4日早上,攻擊者使用KeRanger感染了兩個(gè)Transmission2.90版本的安裝文件,當(dāng)我們發(fā)現(xiàn)這一問題時(shí),受到感染的DMG文件依舊可從開源項(xiàng)目Transmission的網(wǎng)址(https://download.transmissionbt.com/files/Transmission-2.90.dmg)上進(jìn)行下載。很有可能Transmission官網(wǎng)已被攻陷,上面的文件已被重新編譯的惡意軟件所取代,但我們無法確認(rèn)這次感染是如何發(fā)生的。

    由于KeRanger應(yīng)用簽署了一個(gè)有效的Mac應(yīng)用開發(fā)證書,因此可以繞過蘋果的GateKeeper防護(hù)。一旦用戶安裝了該被感染應(yīng)用,內(nèi)嵌的可執(zhí)行文件就會(huì)在系統(tǒng)上運(yùn)行,三天后,KeRanger就會(huì)通過Tor匿名網(wǎng)絡(luò)與命令與控制(C2)服務(wù)器連接,之后惡意軟件就開始對(duì)系統(tǒng)上某些特定的文檔和數(shù)據(jù)文件進(jìn)行加密。加密完成后,KeRanger就會(huì)要求受害者向一指定的地址支付一個(gè)比特幣(約400美元),以贖回文件。另外,有跡象表明KeRanger仍處于活躍開發(fā)中,似乎它同時(shí)也試圖對(duì)系統(tǒng)備份文件TimeMachine進(jìn)行加密,以阻止受害者恢復(fù)其備份數(shù)據(jù)。

    3月4日當(dāng)天,PaloAltoNetworks便向Transmission項(xiàng)目組以及蘋果公司報(bào)告了該勒索軟件問題,蘋果公司因此廢除了這個(gè)有爭(zhēng)議的證書并且更新了其XProtect防病毒簽名,TransmissionProject已將該惡意軟件安裝程序從其網(wǎng)站上移除。同時(shí),PaloAltoNetworks也更新了其URL過濾和威脅防御功能,以阻止KeRanger對(duì)系統(tǒng)的影響。

    如何實(shí)現(xiàn)自我保護(hù)

    從太平洋標(biāo)準(zhǔn)時(shí)間2016年3月4日上午11時(shí)至2016年3月5日下午7時(shí),這個(gè)時(shí)間段里直接從官網(wǎng)上下載Transmission安裝程序的用戶,很可能已經(jīng)受到了KeRanger的感染。如果用戶是稍早之前下載了Transmission安裝程序或者是從第三方網(wǎng)站上下載,我們也建議用戶進(jìn)行如下安全檢查操作,但老版的Transmission目前為止還未出現(xiàn)受到感染的跡象。

    我們建議用戶執(zhí)行以下操作,以確定是否已受KeRanger感染并將其移除,以免文件被用于勒索而被控制,

    1.使用Terminal或者Finder,檢查/Applications/Transmission.app/Contents/Resources/路徑下或/Volumes/Transmission/Transmission.app/Contents/Resources/是否有文件General.rtf存在。如果有,則表明Transmission應(yīng)用已被感染,我們建議將該版本Transmission予以刪除。

    2.借助預(yù)安裝在OSX里的ActivityMonitor功能,檢查是否有一個(gè)名為“kernel_service”的程序在運(yùn)行。如果是,再次檢查該程序,選擇“OpenFilesandPorts”檢查是否有這樣一個(gè)文件名“/Users//Library/kernel_service”。如果有,那么這個(gè)程序就是KeRanger的主程序,我們建議點(diǎn)擊“Quit->ForceQuit”來終止這個(gè)程序。

    3.經(jīng)過以上檢查后,我們建議用戶檢查一下,在路徑~/Librarydirectory中是否有文件名為“.kernel_pid”,“.kernel_time”,“.kernel_complete”和“kernel_service”的文件存在,如果有,請(qǐng)刪除他們。

    鑒于蘋果公司已經(jīng)撤消了這個(gè)有爭(zhēng)議的證書,并且更新了XProtect簽名,當(dāng)有用戶試圖打開一個(gè)已經(jīng)證明為受感染的Transmission版本時(shí),就會(huì)出現(xiàn)一個(gè)警告框上面寫著“Transmission應(yīng)用將損壞你的電腦,請(qǐng)將其刪除至回收站”,或者“Transmission文件無法打開,請(qǐng)彈出此硬盤映射”。一旦出現(xiàn)該警告提示,我們建議您按照蘋果公司的建議進(jìn)行操作,以避免被感染。

    有關(guān)細(xì)節(jié),請(qǐng)閱讀博客全文:http://researchcenter.paloaltonetworks.com/unit42/


掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):6G至簡(jiǎn)無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國(guó)聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國(guó)電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國(guó)移動(dòng)算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

    業(yè)界最新資訊


      最新招聘信息