First OS X ransomware krypterar dina data, krÀver pengar för att ge tillbaka det

Hur du fÄr reda pÄ om du pÄverkas av den massiva cyberattacken pÄ Equifax

Ransomware Àr en farlig typ av skadligt hot som drabbar mÄnga Windows-anvÀndare. Denna typ av programvara krypterar vissa filer som tillhör anvÀndaren och krÀver sedan en avgift för upplÄsningsnyckeln. Medan Mac-anvÀndare lÀnge varit sÀkra frÄn sÄdana hot har det första hotet som attackerar OS X-datorer upptÀckts. Lyckligtvis har det redan behandlats.

MISS INTE: Galaxy S7: s marker matchar iPhone 6s i nya riktmÀrken

Forskare frÄn Palo Alto Networks upptÀckte programmet som maskerades som installationsprogrammet för Transmission 2.90, en öppen kÀllkod BitTorrent-klient som uppdaterades förra veckan. PÄ nÄgot sÀtt lyckades angripare trÀnga igenom sÀkerheten för överföring och ersatte originalfilerna med DMG-arkivfiler som innehÄller KeRanger-hotet, vilket forskare kallar det första fullt fungerande Mac-ransomwareprogrammet.

Appen undertecknades med ett giltigt Mac-apputvecklingscertifikat, borttaget av Apple sedan hotet upptÀcktes. Apples Gatekeeper-protokoll blockerar nu appen pÄ Mac-datorer, som fortfarande kan finnas tillgÀnglig för nedladdning pÄ vissa webbplatser.

Forskare bestÀmde att KeRanger ansluter till kommando- och kontrollcentret tre dagar efter infektion, med hjÀlp av Tor för att anonymisera data. Palo Alto Network rapporterade sina resultat till bÄde Apple och Transmission den 4 mars.

Skadlig kod krypterar sedan vissa typer av dokument och data och ber om en Bitcoin (cirka $ 400) frÄn den drabbade anvÀndaren för nyckeln till kryptering.

Transmission Project har uppdaterat sin webbplats sedan sÀkerhetsproblemet hittades och slÀppte Transmission 2.92, en skadlig version av appen, som ocksÄ hÀvdar att den tar bort skadlig kod frÄn datorn, om den fortfarande finns dÀr.

ÄndĂ„ verkar KeRanger vara under aktiv utveckling, med skadlig kod som ocksĂ„ försöker kryptera Time Machine-sĂ€kerhetskopieringsfiler sĂ„ att offren inte enkelt kan Ă„terstĂ€lla sina sĂ€kerhetskopior.

AnvÀndare som har laddat ner sÀndning 2.90 frÄn den officiella webbplatsen efter 11:00 PST 4 mars 2016 och före 19:00 PST 5 mars kan smittas med KeRanger.

HÀr Àr vad du bör göra för att ta reda pÄ om programmet finns pÄ din dator, enligt Palo Alto Networks:

1. Kontrollera om terminalen eller Finder anvÀnds /Applications/Transmission.app/Contents/Resources/ General.rtf eller /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf existera. Om nÄgot av dessa finns Àr överföringsapplikationen infekterad och vi föreslÄr att du tar bort den hÀr versionen av överföringen.
2. AnvĂ€nda “Aktivitetsövervakare”Förinstallerat i OS X, kontrollera om nĂ„gon process med namnet“kernel_service” körs. Kontrollera i sĂ„ fall processen, vĂ€lj “Öppna filer och portar”Och kontrollera om det finns ett filnamn som“/ AnvĂ€ndare // Bibliotek / kernel_service”=. I sĂ„ fall Ă€r processen KeRangers huvudprocess. Vi föreslĂ„r att du avslutar det med “Avsluta -> Tvinga Avsluta”.
3. Efter dessa steg rekommenderar vi ocksĂ„ anvĂ€ndare att kontrollera om filerna ”.kernel_pid”,“.kernel_time”,“.kernel_complete”Eller”kernel_service”Existerande i ~ / Bibliotek katalog. I sĂ„ fall bör du ta bort dem.

Det enda du kan göra om skadlig programvara som redan körts pĂ„ din dator och du inte har sĂ€kerhetskopior av kritiska data som kan ha krypterats förra veckan nyligen, Ă€r att betala lösen. Men med tanke pĂ„ det Palo Alto Networks var snabb att upptĂ€cka skadlig programvara och att Apple och Transmission utfĂ€rdade korrigeringar för att mildra utnyttjande, de flesta Mac-anvĂ€ndare borde vara sĂ€kra – lĂ€s mer om KeRanger pĂ„ kĂ€lllĂ€nkarna.