קעראַנגער: דער ערשטער מעק ראַנסאָמוואַרע אין די ווילד דיסקאַווערד

פּאַלאָ אַלטאָ נעטוואָרקס דיסקאַווערז ראַנסאָמוואַרע טאַרגאַטינג מאַקס

אויף 4 מערץ 2016, Palo Alto Networks, אַ באַוווסט זיכערהייַט פירמע, אַרייַנגעשיקט זייַן אַנטדעקן פון קעאַראַנגער ראַנסאָמוואַרע ינפעקטינג טראַנסמיסיע, די פאָלקס מעק ביטטאָררענט קליענט. די פאַקטיש מאַלוואַרע איז געפונען אין די ינסטאַללער פֿאַר טראַנסמיסיע ווערסיע 2.90.

די וועבזייטל טראַנספאָרמונג געשווינד גענומען אַראָפּ די ינפעקטאַד ינסטאַללער און איז ערדזשינג ווער עס יז ניצן טראַנסמיסיע 2.90 צו דערהייַנטיקן צו ווערסיע 2.92, וואָס איז געווען וועראַפייד דורך טראַנסמיסיאָן צו זיין פֿרייַ פון קרעאַנגער.

טראַנסמיסיע האט נישט דיסקאַסט ווי די ינפעקטאַד ינסטאַללער איז ביכולת צו זיין כאָוסטיד אויף זייער וועבזייַטל, און פּאַלאָ אַלטאָ נעטוואָרקס קען נישט באַשטימען ווי די טראַנסמיסיע פּלאַץ איז געווען קאַמפּראַמייזד.

KeRanger Ransomware

די קראַנגער ראַנסאָמוואַרע אַרבעט ווי רובֿ ראַנסאָמוואַרע טוט, דורך ינקריפּטינג טעקעס אויף דיין מעק, און דעמאָלט פאדערן צאָלונג; אין דעם פאַל, אין די פאָרעם פון אַ ביטקאָין (דערווייַל וואַליוד אַרום $ 400) צו צושטעלן איר מיט די ענקריפּשאַן שליסל צו צוריקקריגן דיין טעקעס.

The KeRanger ransomware איז אינסטאַלירן דורך די קאַמפּראַמייזד טראַנסמיסיע ינסטאָלער. די ינסטאָלער מאכט אַ גילטיק מעק אַפּ דעוועלאָפּער באַווייַזן אַז אַלאַוז די ינסטאַלירונג פון די ראַנסאָמוואַרע צו פליען פאַרגאַנגענהייַט OS X's Gatekeeper טעכנאָלאָגיע , וואָס פּריווענץ די ינסטאַלירונג פון מאַלוואַרע אויף די מעק.

Once installed, KeRanger sets up communication with a remote server on the Tor network. עס דעמאָלט גייט צו שלאָפן פֿאַר דרייַ טעג. אַמאָל עס אַווייקאַנז, קראַנגער באקומט די ענקריפּשאַן שליסל פון די ווייַט סערווירער און לייזונג צו ענקריפּט טעקעס אויף די ינפעקטאַד מעק.

די טעקעס ינקריפּטיד אַרייַננעמען די אין די / Users טעקע, וואָס רעזולטאטן אין רובֿ באַניצער טעקעס אויף די ינפעקטאַד מעק שיין ינקריפּטיד און ניט וסאַבלע. דערצו, פּאַלאָ אַלטאָ נעטוואָרקס רעפּאָרץ אַז די / וואָלומעס טעקע, וואָס כּולל די בארג פונט פֿאַר אַלע אַטאַטשט סטאָרידזש דעוויסעס, ביידע היגע און אויף דיין נעץ, איז אויך אַ ציל.

אין דעם צייַט, עס ס געמישט אינפֿאָרמאַציע וועגן צייט מאַשין באַקאַפּס זייַענדיק ינקריפּטיד דורך קרעאַנגער, אָבער אויב די / וואָלומעס טעקע איז טאַרגאַטעד, איך זען קיין סיבה פארוואס אַ צייט מאַשין פאָרן וואָלט נישט זיין ענקריפּטיד. מיין געדאַנק איז אַז קעמערגער איז אַזאַ אַ נייַ שטיק פון ראַנסאָמוואַרע אַז די געמישט ריפּאָרץ וועגן צייט מאַשין זענען פשוט אַ זשוק אין די ראַנסאָמוואַרע קאָד; מאל עס אַרבעט, און מאל עס טוט נישט.

Apple Reacts

Palo Alto Networks געמאלדן די קראַנגער ראַנסאָמוואַרע צו ביידע עפּל און טראַנסמיסיע. ביידע ריאַקטאַד סוויפטלי; עפּל ריוואָוקט די מעק אַפּ דעוועלאָפּער באַווייַזן געניצט דורך די אַפּ, אַזוי אַלאַוינג גאַטהעעפּער צו האַלטן ווייַטער ינסטאַליישאַנז פון די קראַנט ווערסיע פון ​​קראַנגער. עפּל אויך דערהייַנטיקט קספּראָדזשעקט סיגנאַטשערז, אַלאַוינג די אַס רענטגענ מאַלוואַרע פאַרהיטונג סיסטעם צו דערקענען קייראַנגער און פאַרמייַדן ינסטאַלירונג, אַפֿילו אויב גייטקיפּער איז פאַרקריפּלט, אָדער איז קאַנפיגיערד פֿאַר אַ נידעריק-זיכערקייַט באַשטעטיקן.

טראַנסמיסיע אראפגענומען טראַנסמיסיע 2.90 פון זייער וועבזייַטל און געשווינד רייססוד אַ ריין ווערסיע פון ​​טראַנסמיסיע, מיט אַ ווערסיע נומער פון 2.92. מיר קענען אויך יבערנעמען אַז זיי קוקן אין ווי זייער וועבזייטל איז געווען קאַמפּראַמייזד און גענומען מיטלען צו פאַרמייַדן עס פון געשעעניש ווידער.

ווי צו באַזייַטיקן KeRanger

געדענקט, דאַונלאָודינג און ינסטאַלירן די ינפעקטאַד ווערסיע פון ​​די טראַנסמיסיע אַפּ איז דערווייַל דער בלויז וועג צו קריגן קרעמגער. אויב איר טאָן ניט נוצן טראַנסמיסיע, איר איצט טאָן ניט דאַרפֿן צו זאָרג וועגן קיימאַן.

ווי לאַנג ווי קעמערגער האט נישט ענקריפּטיד דיין מעק ס טעקעס נאָך, איר האָבן צייַט צו באַזייַטיקן די אַפּ און פאַרמייַדן די ענקריפּשאַן פון געשעעניש. אויב דיין מעק ס טעקעס זענען שוין ינקריפּטיד, עס ס 'נישט פיל איר קענען טאָן חוץ האָפֿן דיין באַקאַפּס זענען נישט ענקריפּטיד ווי געזונט. דעם ווייזט אַ זייער גוט סיבה פֿאַר אַ באַקאַפּ פאָר, וואָס איז ניט שטענדיק פארבונדן צו דיין מעק. ווי אַ בייַשפּיל, איך נוצן קאַרבאָן קאָפּי קלאָנער צו מאַכן אַ וואכנשריפט קלאָון פון מיין מעק ס דאַטן . די פאָר האָוסינג וואָס קלאָון איז נישט מאָונטעד אויף מיין מעק ביז עס איז נייטיק פֿאַר די קלאָונינג פּראָצעס.

אויב איך קען לויפן אין אַ ראַנסאָמוואַרע סיטואַציע, איך קען האָבן ריקאַווערד דורך ריסטאָרינג פון די וואכנשריפט קלאָון. דער בלויז שטראָף פֿאַר ניצן די וואכנשריפט קלאָון איז מיט טעקעס אַז קען זיין אַרויף צו אַ וואָך אויס פון טאָג, אָבער דאָס איז פיל בעסער ווי פּייינג עטלעכע נעביריאַז קרעטען אַ ויסלייזגעלט.

אויב איר געפֿינען זיך אין די נעבעך סיטואַציע פון ​​קעאַראַנגער, כאָטש איר האָבן שוין טראַפּט זייַן טראַפּ, איך וויסן קיין וועג אויס אנדערע אָדער באַצאָלן די ראַנסאָם אָדער רילאָאַדינג אַס רענטגענ און אָנהייבן מיט אַ ריין ינסטאַלירונג .

אַראָפּנעמען טראַנסמיסיע

אין דער פינדער , נאַוויגירן צו / אַפּפּליקאַטיאָנס.

געפֿינען די טראַנסמיסיע אַפּ, און דעמאָלט רעכט גיט זייַן ייקאַן.

פון די קנאַל-אַרויף מעניו, אויסקלייַבן ווייַזן פּעקל קאָנטענץ.

אין דער פֿענצטער פֿענצטער עפענען, אַרייַן די אינהאַלט / רעסורסן /.

קוק פֿאַר אַ טעקע מיט General.rtf.

אויב די General.rtf טעקע איז פאָרשטעלן, איר האָט אַ ינפעקטאַד ווערסיע פון ​​טראַנסמיסיע אינסטאַלירן. אויב די טראַנסמיסיע אַפּ איז פליסנדיק, פאַרלאָזן די אַפּ, שלעפּן עס צו די אָפּפאַל, און דעמאָלט ליידיק די אָפּפאַל.

אַראָפּנעמען KeRanger

לאָנטש טעטיקייט מאָניטאָר , ליגן בייַ / אַפּפּליקאַטיאָנס / וטיליטיעס.

אין Activity Monitor, אויסקלייַבן די CPU קוויטל.

אין זוך ענטערפּרייז מאָניטאָר, אַרייַן די פאלגענדע:

kernel_service

און דעמאָלט דריקן צוריקקומען.

אויב די סערוויס עקסיסטירט, עס וועט זיין ליסטעד אין אַקטיוויטי מאָניטאָר ס פֿענצטער.

אויב פאָרשטעלן, טאָפּל-גיט די פּראָצעס נאָמען אין אַקטיוויטי מאָניטאָר.

אין די פֿענצטער אַז עפענען, גיט די Open Files and Ports קנעפּל.

מאַכן אַ נאָטיץ פון די kernel_service pathname; עס וועט מסתּמא זיין עפּעס ווי:

/ ניצערס / האָמעפּאַגע נאמען / ביבליאָטעק / קערן_סערוויסע

סעלעקטירן דעם טעקע, און דעמאָלט גיט די קוויט קנעפּל.

איבערחזרן דעם אויבן פֿאַר די kernel_time און קערנעל_קאָמפּלעטע דינען נעמען.

כאָטש איר פאַרלאָזן באַדינונגען אין אַקטיוויטי מאָניטאָר, איר דאַרפֿן צו ויסמעקן די טעקעס פון דיין מעק. צו טאָן דאָס, נוצן די טעקע פּאַטענטשאַמז איר האָבן צו טאָן צו אַרייַן די kernel_service, kernel_time, און kernel_complete טעקעס. (באַמערקונג: איר קען נישט האָבן אַלע פון ​​די טעקעס פאָרשטעלן אויף דיין מעק.)

זינט די טעקעס איר דאַרפֿן צו ויסמעקן זענען ליגן אין דיין טעקע ביבליאָטעק טעקע, איר דאַרפֿן צו מאַכן דעם ספּעציעל טעקע קענטיק. איר קענען געפינען ינסטראַקשאַנז פֿאַר ווי צו טאָן דאָס אין די OS X איז כיידינג דיין ביבליאָטעק פאָלדער אַרטיקל.

אַמאָל איר האָבן צוטריט צו די ביבליאָטעק טעקע, ויסמעקן די אויבן דערמאנטע טעקעס דורך דראַגינג זיי צו די אָפּפאַל, דעמאָלט רעכט-קליקינג די אָפּפאַל בילדל, און סעלעקטירן עמפּטי טראַש.