Apple在周六在OS X中悄悄地检测到称为“Keranger”的东西,以在OS X中的Xprotect反恶意软件定义。
它是帕洛阿尔托网络公司的克劳德·肖周日透露KeRanger是第一个真正的Mac勒索制造器,这不仅仅是理论上。它在野外。
据Xiao,传输应用程序 - 一位BitTorrent客户端 - 被感染包含这个勒索软件。受感染的应用程序是从官方传输网站分发的,但与先前用于签署传输应用程序的正常签名的代码签名,这意味着应用程序本身已被攻击者修改并重新签名(虽然这还没有)已被确认)。
修改的传输副本包括名为General.rtf的文件,它实际上是可执行文件,而不是它假装的富文本文档。启动应用程序后,将该文件复制到用户库文件夹中名为Kernel_Service的文件(默认情况下在最近版本的OS X上隐藏)。
此Kernel_Service进程仍然在后台运行,并在用户库文件夹中创建名为.kernel_pid和.kernel_time的其他文件。这些文件的后者包含一个时间戳,用于识别3天过去的时间。
3天后,恶意软件“引爆”并开始加密文件。根据Xiao的说法,它会加密/Users文件夹中的所有文件,以及/Volumes文件夹中具有通用文档扩展名的文件(换句话说,在连接的外部硬盘驱动器、服务器等上的文件)。在每个文件被加密的文件夹中,都会创建一个名为“README_FOR_DECRYPT.txt”的文件,其中包含如何支付解密密钥的说明。
事实上,这种恶意软件会加密外部驱动器和连接的网络卷,这意味着它可以加密备份,包括时间胶囊中存储的时间机器备份。更糟糕的是,这款应用程序中有一个名为“_encrypt_timemachine”的程序代码——尽管肖表示目前还没有使用过。这意味着您的备份,您希望保持完整的事件,勒索软件感染,也可能成为这个恶意软件的受害者。
有趣的是,这种恶意软件似乎没有持久的机制。kernel_service进程将保持运行,但如果重新启动计算机,则不会自动备份。您必须重新打开受感染的传输应用程序以重新激活该过程。
苹果已经在XProtect中添加了检测该恶意软件的功能,并撤销了用于为恶意的Transmission副本签名的开发者证书。这意味着如果没有恶意软件的更新,新的感染是不可能发生的。然而,需要注意的是,如果你已经在你的Mac上运行了受感染的Transmission拷贝,这并不会阻止你再次打开它……此时你的Mac会认为它是安全的,因为它之前已经成功打开过。这意味着这对那些已经被感染并且有3天倒计时的用户没有帮助。
有些人可能会试图支付赎金来取回他们的文件。然而,重要的是要明白这是一个非常糟糕的主意。在Windows的世界里,有时支付赎金就能获得成功解锁文件的钥匙。然而,它也可能导致向黑客汇钱,却没有得到任何回报,或者收到一个实际上不能正常工作的密钥,因为勒索软件编写得很糟糕。
如果您最近下载了传输应用程序,您应该删除该应用程序并重新启动计算机。这应该可以防止重新激活的恶意软件。
您还可以检测并删除此恶意软件必威平台APPMalwarebytes反恶意软件Mac。但是,请记住,在删除前加密的任何文件都将丢失(除非它们已被备份并且备份仍然完好无损)。
另外,请记住,这不是Mac用户第一次在下载torrent客户端后被感染,尽管在过去,这类感染一直都是广告软件。在处理未来的洪流之前,要仔细思考。
注释