周日Palo Alto Networks的安详研究人员发明白一款埋没于Transmission安装包中名为“KeRanger”的打单软件。
KeRanger是第一款被发明针对OS系统的打单软件,它一旦运行,便会对用户设备举办加密,不只仅用户正常利用,还对用户发出付出1个比特币(约莫2600人民币)的打单要求。
技能阐明据Palo Alto研究者先容,KeRanger传染的两个Transmission安装包都有苹果公司的正当签名,开拓者证书ID是“POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)”,与Transmission之前版本安装包的签名有所差异。代码签名信息显示,这些安装包是3月4日上午生成的。
受传染的安装包在Transmission.app/Contents/Resources 目次之下带有一个名为General.rtf的文件。它利用了一个看起来正常的RTF文件图标,实际上却是一个带有UPX 3.91的Mach-O名目可执行文件。
Palo Alto两位研究者Claud Xiao和Jin Chen在文章中称:
“当用户点击这些受传染的应用措施时,在任何用户界面呈现之前可执行的Transmission.app/Content/MacOS/Transmission会将General.rtf文件复制到~/Library/kernel_service,并执行这一“kernel_service”。”
在General.rtf执行加密任务前,KeRanger会在~/Library目次之下建设三个文件,别离是“.kernel_pid”、”.kernel_time”和“.kernel_complete”,并在”.kernel_time”记下当前时间。然后,打单软件会甜睡三天。值得留意的是,在KeRanger的另一样本傍边,研究者同样发明白恶意软件会休眠三天,可是它仍每五分钟向C2处事器提出请求。
恶意软件会选择性加密系统上特定范例的文档以及数据文件,在加密措施完成之后,KeRanger要求受害者付出1个比特币到特定地点才气赎回他们的文件。另外,KeRanger好像还在努力开拓进程中,而恶意软件好像试图加密Time Machine,防备受害者规复他们的备份数据。
FreeBuf 百科
Transmission是一种BitTorrent客户端,特点是一个跨平台的后端和其上的简捷的用户界面。
打单软件是黑客用来挟制用户资产或资源并以此为条件向用户打单钱财的一种恶意软件。打单软件凡是会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件举办某种形式的加密操纵,使之不行用,可能通过修改系统设置文件、滋扰用户正常利用系统的要领使系统的可用性低落,然后通过弹出窗口、对话框或生成文本文件等的方法向用户发出打单通知,要求用户向指定帐户汇款来得到解密文件的暗码可能得到规复系统正常运行的要领。
你的Mac是否被传染了?
假如你从开源项目网站下载了Transmission 2.90版本,,你大概已经被传染了。假如是软件自身进级,应该就没事。可是多次查抄一下照旧不会错的。
按照Palo Alto研究者称,可以通过下列事项举办检测:
·寻找一个叫做“Applications/Transmission.app/Contents/Resources/General.rtf”可能“/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf”的文件。假如你发明其存在,直接删除你的Transmission应用。
·利用Activity
Monitor查抄“kernel_service”历程是否在运行。假如是,选择应用措施中的“打开文件及端口”,搜索一个名字雷同“Users/<username>/Library/kernel_service”的文件,然后终止历程。
缓解法子
