Palo Alto Networks在蘋果OS X平臺上發(fā)現(xiàn)首個全功能勒索軟件KeRanger

    【移動通信網(wǎng)】3月4日，用于蘋果操作系統(tǒng)MacOSX客戶端的BitTorrent客戶端安裝程序在發(fā)布幾個小時后，我們偵測到其已被勒索軟件感染，并將其命名為“KeRanger”。之前唯一為公眾所熟知的針對OSX的勒索軟件為FileCoder,由卡巴斯基實驗室于2014年發(fā)現(xiàn)，由于在發(fā)現(xiàn)的時候FileCoder尚不完整，所以我們認為KeRanger是在OSX平臺上被發(fā)現(xiàn)的首個全功能勒索軟件。

    3月4日早上，攻擊者使用KeRanger感染了兩個Transmission2.90版本的安裝文件，當我們發(fā)現(xiàn)這一問題時，受到感染的DMG文件依舊可從開源項目Transmission的網(wǎng)址(https://download.transmissionbt.com/files/Transmission-2.90.dmg)上進行下載。很有可能Transmission官網(wǎng)已被攻陷，上面的文件已被重新編譯的惡意軟件所取代，但我們無法確認這次感染是如何發(fā)生的。

    由于KeRanger應用簽署了一個有效的Mac應用開發(fā)證書，因此可以繞過蘋果的GateKeeper防護。一旦用戶安裝了該被感染應用，內嵌的可執(zhí)行文件就會在系統(tǒng)上運行，三天后，KeRanger就會通過Tor匿名網(wǎng)絡與命令與控制(C2)服務器連接，之后惡意軟件就開始對系統(tǒng)上某些特定的文檔和數(shù)據(jù)文件進行加密。加密完成后，KeRanger就會要求受害者向一指定的地址支付一個比特幣(約400美元)，以贖回文件。另外，有跡象表明KeRanger仍處于活躍開發(fā)中，似乎它同時也試圖對系統(tǒng)備份文件TimeMachine進行加密，以阻止受害者恢復其備份數(shù)據(jù)。

    3月4日當天，PaloAltoNetworks便向Transmission項目組以及蘋果公司報告了該勒索軟件問題，蘋果公司因此廢除了這個有爭議的證書并且更新了其XProtect防病毒簽名，TransmissionProject已將該惡意軟件安裝程序從其網(wǎng)站上移除。同時，PaloAltoNetworks也更新了其URL過濾和威脅防御功能，以阻止KeRanger對系統(tǒng)的影響。

    如何實現(xiàn)自我保護

    從太平洋標準時間2016年3月4日上午11時至2016年3月5日下午7時，這個時間段里直接從官網(wǎng)上下載Transmission安裝程序的用戶，很可能已經(jīng)受到了KeRanger的感染。如果用戶是稍早之前下載了Transmission安裝程序或者是從第三方網(wǎng)站上下載，我們也建議用戶進行如下安全檢查操作，但老版的Transmission目前為止還未出現(xiàn)受到感染的跡象。

    我們建議用戶執(zhí)行以下操作，以確定是否已受KeRanger感染并將其移除，以免文件被用于勒索而被控制，

    1.使用Terminal或者Finder,檢查/Applications/Transmission.app/Contents/Resources/路徑下或/Volumes/Transmission/Transmission.app/Contents/Resources/是否有文件General.rtf存在。如果有，則表明Transmission應用已被感染，我們建議將該版本Transmission予以刪除。

    2.借助預安裝在OSX里的ActivityMonitor功能，檢查是否有一個名為“kernel_service”的程序在運行。如果是，再次檢查該程序，選擇“OpenFilesandPorts”檢查是否有這樣一個文件名“/Users//Library/kernel_service”。如果有，那么這個程序就是KeRanger的主程序，我們建議點擊“Quit->ForceQuit”來終止這個程序。

    3.經(jīng)過以上檢查后，我們建議用戶檢查一下，在路徑~/Librarydirectory中是否有文件名為“.kernel_pid”,“.kernel_time”,“.kernel_complete”和“kernel_service”的文件存在，如果有，請刪除他們。

    鑒于蘋果公司已經(jīng)撤消了這個有爭議的證書，并且更新了XProtect簽名，當有用戶試圖打開一個已經(jīng)證明為受感染的Transmission版本時，就會出現(xiàn)一個警告框上面寫著“Transmission應用將損壞你的電腦，請將其刪除至回收站”，或者“Transmission文件無法打開，請彈出此硬盤映射”。一旦出現(xiàn)該警告提示，我們建議您按照蘋果公司的建議進行操作，以避免被感染。

    有關細節(jié)，請閱讀博客全文：http://researchcenter.paloaltonetworks.com/unit42/