केरेंजर: वन्य खोज में पहला मैक रांससमवेयर

पालो अल्टो नेटवर्क Ransomware लक्ष्यीकरण मैक खोजता है

4 मार्च, 2016 को, एक प्रसिद्ध सुरक्षा फर्म पालो अल्टो नेटवर्क्स ने लोकप्रिय मैक बिटटोरेंट क्लाइंट ट्रांसमिशन, ट्रांसमिशन, केरेंजर रेंसोमवेयर संक्रमित की अपनी खोज पोस्ट की। वास्तविक मैलवेयर ट्रांसमिशन संस्करण 2.90 के लिए इंस्टॉलर के भीतर पाया गया था।

ट्रांसमिशन वेबसाइट ने संक्रमित इंस्टॉलर को जल्दी से हटा दिया और संस्करण 2.92 में अपडेट करने के लिए ट्रांसमिशन 2.90 का उपयोग करने वाले किसी से भी आग्रह कर रहा है, जिसे ट्रांसमिशन द्वारा केरेंजर से मुक्त होने के लिए सत्यापित किया गया है।

ट्रांसमिशन ने इस बात पर चर्चा नहीं की है कि कैसे संक्रमित इंस्टॉलर अपनी वेबसाइट पर होस्ट किया जा सकता था, न ही पालो अल्टो नेटवर्क यह निर्धारित करने में सक्षम थे कि ट्रांसमिशन साइट के साथ समझौता कैसे किया गया था।

केरेंजर रांसोमवेयर

KeRanger ransomware आपके मैक पर फ़ाइलों को एन्क्रिप्ट करके, और फिर भुगतान की मांग करके, अधिकांश ransomware करता है; इस मामले में, बिटकॉइन के रूप में (वर्तमान में $ 400 के आसपास मूल्यवान) आपको अपनी फ़ाइलों को पुनर्प्राप्त करने के लिए एन्क्रिप्शन कुंजी प्रदान करने के लिए।

केरेंजर ransomware समझौता ट्रांसमिशन इंस्टॉलर द्वारा स्थापित किया गया है। इंस्टॉलर एक वैध मैक ऐप डेवलपर सर्टिफिकेट का उपयोग करता है, जो रेंसोमवेयर की स्थापना ओएस एक्स की गेटकीपर तकनीक से उड़ने की इजाजत देता है, जो मैक पर मैलवेयर की स्थापना को रोकता है।

एक बार इंस्टॉल हो जाने पर, केरेंजर टोर नेटवर्क पर रिमोट सर्वर के साथ संचार स्थापित करता है। फिर यह तीन दिनों के लिए सो जाता है। एक बार यह जागने के बाद, केरेंजर रिमोट सर्वर से एन्क्रिप्शन कुंजी प्राप्त करता है और संक्रमित मैक पर फ़ाइलों को एन्क्रिप्ट करने के लिए आय प्राप्त करता है ।

एन्क्रिप्टेड फ़ाइलों में / उपयोगकर्ता फ़ोल्डर में शामिल हैं, जिसके परिणामस्वरूप संक्रमित मैक पर अधिकांश उपयोगकर्ता फ़ाइलों को एन्क्रिप्टेड और उपयोग करने योग्य नहीं होता है। इसके अलावा, पालो अल्टो नेटवर्क रिपोर्ट करता है कि / वॉल्यूम फ़ोल्डर, जिसमें स्थानीय और आपके नेटवर्क दोनों, सभी संलग्न स्टोरेज डिवाइसों के लिए माउंट पॉइंट शामिल है, भी एक लक्ष्य है।

इस समय, केयरर द्वारा एन्क्रिप्टेड टाइम मशीन बैकअप के बारे में मिश्रित जानकारी है, लेकिन यदि वॉल्यूम्स फ़ोल्डर लक्षित है, तो मुझे कोई कारण नहीं दिखता कि टाइम मशीन ड्राइव एन्क्रिप्ट नहीं किया जाएगा। मेरा अनुमान है कि केरेंजर ransomware का एक नया टुकड़ा है कि टाइम मशीन के बारे में मिश्रित रिपोर्ट बस ransomware कोड में एक बग है; कभी-कभी यह काम करता है, और कभी-कभी यह नहीं करता है।

ऐप्पल प्रतिक्रिया करता है

पालो अल्टो नेटवर्क ने ऐप्पल और ट्रांसमिशन दोनों के लिए केरेंजर रांसोमवेयर की सूचना दी। दोनों तेजी से प्रतिक्रिया व्यक्त की; ऐप्पल ने ऐप द्वारा उपयोग किए गए मैक ऐप डेवलपर सर्टिफिकेट को रद्द कर दिया, इस प्रकार गेटकीपर को केरेंजर के वर्तमान संस्करण की और स्थापना को रोकने की इजाजत दी गई। ऐप्पल ने XProject हस्ताक्षर भी अपडेट किए, जिससे ओएस एक्स मैलवेयर रोकथाम प्रणाली केरेंजर को पहचानने और इंस्टॉलेशन को रोकने की इजाजत दी गई, भले ही गेटकिपर अक्षम हो या कम सुरक्षा सेटिंग के लिए कॉन्फ़िगर किया गया हो।

ट्रांसमिशन ने अपनी वेबसाइट से ट्रांसमिशन 2.90 हटा दिया और 2.92 के संस्करण संख्या के साथ ट्रांसमिशन के एक साफ संस्करण को तुरंत जारी किया। हम यह भी मान सकते हैं कि वे देख रहे हैं कि उनकी वेबसाइट किस तरह से समझौता किया गया था, और इसे फिर से होने से रोकने के लिए उपाय कर रहे थे।

KeRanger कैसे निकालें

ट्रांसमिशन ऐप के संक्रमित संस्करण को याद रखना, डाउनलोड करना और इंस्टॉल करना वर्तमान में केरेंजर हासिल करने का एकमात्र तरीका है। यदि आप ट्रांसमिशन का उपयोग नहीं करते हैं, तो आपको वर्तमान में केरेंजर के बारे में चिंता करने की आवश्यकता नहीं है।

जब तक केरेंजर ने अभी तक आपकी मैक की फ़ाइलों को एन्क्रिप्ट नहीं किया है, तो आपके पास ऐप को हटाने और एन्क्रिप्शन होने से रोकने का समय है। यदि आपकी मैक की फ़ाइलें पहले ही एन्क्रिप्ट की गई हैं, तो आप अपने बैकअप को एन्क्रिप्ट नहीं किए जाने के अलावा बहुत कुछ नहीं कर सकते हैं। यह बैकअप ड्राइव रखने के लिए एक बहुत अच्छा कारण बताता है जो हमेशा आपके मैक से कनेक्ट नहीं होता है। उदाहरण के तौर पर, मैं अपने मैक के डेटा का एक साप्ताहिक क्लोन बनाने के लिए कार्बन कॉपी क्लोनर का उपयोग करता हूं । क्लोनिंग प्रक्रिया के लिए जरूरी होने तक ड्राइव मैक पर क्लोन को मेरे मैक पर नहीं रखा जाता है।

अगर मैं एक ransomware स्थिति में चला गया था, मैं साप्ताहिक क्लोन से बहाल करके पुनर्प्राप्त कर सकता था। साप्ताहिक क्लोन का उपयोग करने के लिए एकमात्र दंड में ऐसी फाइलें होती हैं जो एक हफ्ते तक हो सकती हैं, लेकिन यह कुछ बेईमान क्रेटिन को छुड़ौती देने से कहीं ज्यादा बेहतर है।

यदि आप अपने आप को पहले से ही अपने जाल को उछालते हुए दुर्भाग्यपूर्ण स्थिति में पाते हैं, तो मुझे छुड़ौती का भुगतान करने या ओएस एक्स को पुनः लोड करने और क्लीन इंस्टॉल के साथ शुरू करने के अलावा कोई रास्ता नहीं पता है।

ट्रांसमिशन निकालें

खोजक में , / अनुप्रयोगों पर नेविगेट करें।

ट्रांसमिशन ऐप ढूंढें, और फिर उसके आइकन पर राइट-क्लिक करें।

पॉप-अप मेनू से, पैकेज सामग्री दिखाएं चुनें।

खुलने वाली खोजक विंडो में, सामग्री / संसाधन / नेविगेट करें।

General.rtf लेबल वाली फ़ाइल की तलाश करें।

यदि General.rtf फ़ाइल मौजूद है, तो आपके पास ट्रांसमिशन का एक संक्रमित संस्करण स्थापित है। यदि ट्रांसमिशन ऐप चल रहा है, तो ऐप से बाहर निकलें, इसे ट्रैश में खींचें, और फिर ट्रैश को खाली करें।

KeRanger निकालें

/ अनुप्रयोग / उपयोगिताओं पर स्थित गतिविधि मॉनिटर लॉन्च करें ।

गतिविधि मॉनीटर में, सीपीयू टैब का चयन करें।

गतिविधि मॉनीटर के खोज क्षेत्र में, निम्न दर्ज करें:

kernel_service

और फिर वापसी दबाएं।

यदि सेवा मौजूद है, तो इसे गतिविधि मॉनीटर की विंडो में सूचीबद्ध किया जाएगा।

यदि मौजूद है, तो गतिविधि मॉनीटर में प्रक्रिया नाम पर डबल-क्लिक करें।

खुलने वाली विंडो में, फ़ाइलें और पोर्ट्स खोलें बटन पर क्लिक करें।

Kernel_service पथनाम का नोट बनाएं; यह संभवतः कुछ ऐसा होगा:

/ उपयोगकर्ताओं / homefoldername / Library / kernel_service

फ़ाइल का चयन करें, और उसके बाद बाहर निकलें बटन क्लिक करें।

कर्नेल_टाइम और kernel_complete सेवा नामों के लिए उपरोक्त दोहराएं।

यद्यपि आपने गतिविधि मॉनीटर के भीतर सेवाओं को छोड़ दिया है, आपको अपने मैक से फ़ाइलों को हटाने की भी आवश्यकता है। ऐसा करने के लिए, kernel_service, kernel_time, और kernel_complete फ़ाइलों पर नेविगेट करने के लिए आपके द्वारा बनाए गए फ़ाइल पथनामों का उपयोग करें। (नोट: हो सकता है कि आपके पास इन सभी फ़ाइलों को आपके मैक पर मौजूद न हो।)

चूंकि आपको हटाने की आवश्यकता वाली फ़ाइलों को आपके घर फ़ोल्डर के लाइब्रेरी फ़ोल्डर में स्थित है, इसलिए आपको यह विशेष फ़ोल्डर दृश्यमान बनाना होगा। आप ओएस एक्स में अपना लाइब्रेरी फ़ोल्डर लेख छिपाने के तरीके के बारे में निर्देश प्राप्त कर सकते हैं।

एक बार आपके पास लाइब्रेरी फ़ोल्डर तक पहुंच हो जाने के बाद, उपर्युक्त फ़ाइलों को ट्रैश में खींचकर हटाएं, फिर ट्रैश आइकन पर राइट-क्लिक करें, और खाली ट्रैश का चयन करें।