Palo Alto Networks, Ransomware 타겟팅 Mac 발견
잘 알려진 보안 회사 인 Palo Alto Networks는 2016 년 3 월 4 일 인기있는 Mac BitTorrent 클라이언트 인 Transmission을 감염시키는 KeRanger ransomware를 발견했습니다. 실제 멀웨어는 전송 버전 2.90의 설치 프로그램에서 발견되었습니다.
Transmission 웹 사이트는 감염된 설치 프로그램을 신속하게 중단 시켰으며, Transmission 2.90을 사용하여 누군가가 KeRanger가없는 것으로 확인 된 버전 2.92로 업데이트 할 것을 촉구합니다.
전송은 감염된 설치 프로그램이 웹 사이트에서 호스팅 될 수있는 방법이나 Palo Alto Networks가 전송 사이트의 손상 경로를 결정할 수있는 방법에 대해서는 언급하지 않았습니다.
KeRanger Ransomware
KeRanger ransomware는 대부분의 ransomware가 Mac에서 파일을 암호화 한 다음 지불을 요구함으로써 작동합니다. 이 경우 비트 코인 형태로 (현재 약 400 달러 상당) 파일을 복구 할 수있는 암호화 키를 제공합니다.
KeRanger ransomware는 손상된 전송 설치 프로그램에 의해 설치됩니다. 설치 프로그램은 유효한 Mac App 개발자 인증서를 사용하여, Mac에 맬웨어를 설치하지 못하도록 이전 버전의 OS X의 게이트 키퍼 기술 을 사용하여 ransomware를 설치할 수 있습니다.
KeRanger가 설치되면 Tor 네트워크의 원격 서버와의 통신을 설정합니다. 그런 다음 3 일 동안 자러갑니다. 깨우면 KeRanger는 원격 서버에서 암호화 키를 받고 감염된 Mac의 파일을 암호화합니다 .
암호화 된 파일에는 / Users 폴더에있는 파일이 포함되어있어 감염된 Mac의 대부분 사용자 파일이 암호화되어 사용되지 않습니다. 또한 Palo Alto Networks는 로컬 및 네트워크의 연결된 모든 저장소 장치에 대한 탑재 지점이 포함 된 / Volumes 폴더도 대상이라고보고합니다.
현재 KeRanger가 암호화 한 Time Machine 백업과 관련된 정보 가 있지만 / Volumes 폴더가 대상인 경우 Time Machine 드라이브가 암호화되지 않을 이유가 없습니다. 내 생각 엔 KeRanger는 Time Machine에 관한 혼합 된 보고서가 ransomware 코드의 버그 일 뿐이라는 새로운 ransomware 조각입니다. 때로는 효과가 있고 때로는 그렇지 않습니다.
Apple Reacts
Palo Alto Networks는 KeRanger ransomware를 Apple과 Transmission 모두에게보고했습니다. 둘 다 신속하게 대응했다. 애플은 애플 리케이션이 사용하는 맥 앱 개발자 인증서를 취소하여 게이트 키퍼가 현재 버전의 KeRanger를 더 이상 설치하지 못하도록했다. 또한 Apple은 XProject 서명을 업데이트하여 GateKeeper가 비활성화되거나 낮은 보안 설정으로 구성되어 있어도 OS X 악성 코드 방지 시스템이 KeRanger를 인식하고 설치를 방지 할 수 있습니다.
전송은 그들의 웹 사이트에서 전송 2.90을 제거하고 버전 2.92의 깨끗한 전송 버전을 재빨리 재발행했습니다. 또한 웹 사이트가 손상된 방법을 조사하고 다시 발생하지 않도록 조치를 취한다고 가정 할 수 있습니다.
KeRanger를 제거하는 방법
감염된 버전의 전송 앱을 다운로드하여 설치하는 것이 현재는 KeRanger를 취득하는 유일한 방법이라는 것을 기억하십시오. 전송을 사용하지 않으면 현재 KeRanger에 대해 걱정할 필요가 없습니다.
KeRanger가 Mac 파일을 아직 암호화하지 않은 경우 앱을 제거하고 암호화가 실행되지 않도록 할 시간이 있습니다. Mac의 파일이 이미 암호화되어 있다면 백업이 암호화되지 않은 것을 제외하고는 할 수있는 일이 많지 않습니다. 이것은 Mac에 항상 연결된 백업 드라이브가 필요한 아주 좋은 이유입니다. 예를 들어 Carbon Copy Cloner를 사용하여 매킨토시 데이터를 매주 복제합니다 . 클론 과정이 필요할 때까지 클론이 내 맥에 마운트되지 않은 드라이브 하우징.
내가 ransomware 상황에 빠지면, 나는 주간 클론으로부터 복구함으로써 회복 될 수 있었다. 주간 클론을 사용하는 것에 대한 유일한 처벌은 일주일이 지나기까지 걸릴 수있는 파일을 가지고있는 것이지만, 그것은 악의적 인 크레 톤을 몸값으로 지불하는 것보다 훨씬 낫습니다.
KeRanger가 이미 함정에 빠져있는 불행한 상황에 처한 경우, 몸값을 지불하거나 OS X을 다시로드하고 새로 설치하는 것 외에는 다른 방법이 없다는 것을 알고 있습니다.
전송 제거
Finder 에서 / Applications로 이동하십시오.
전송 앱을 찾은 다음 아이콘을 마우스 오른쪽 버튼으로 클릭합니다.
K 업 메뉴에서 패키지 내용 표시를 선택하십시오.
열리는 Finder 윈도우에서 / Contents / Resources /로 이동하십시오.
General.rtf라는 파일을 찾으십시오.
General.rtf 파일이 있으면 감염된 버전의 Transmission이 설치되어 있습니다. 전송 앱이 실행중인 경우 앱을 종료하고 휴지통으로 드래그 한 다음 휴지통을 비우십시오.
KeRanger 제거
/ 응용 프로그램 / 유틸리티에있는 활동 모니터 시작 .
활동 모니터에서 CPU 탭을 선택하십시오.
활동 모니터의 검색 필드에 다음을 입력하십시오.
kernel_service그런 다음 return 키를 누릅니다.
서비스가 존재하면 Activity Monitor의 창에 표시됩니다.
해당되는 경우 활동 모니터에서 프로세스 이름을 두 번 클릭하십시오.
창이 열리면 파일 및 포트 열기 버튼을 클릭합니다.
kernel_service 경로 이름을 적어 두십시오. 가능성이 높습니다 :
/ users / homefoldername / 라이브러리 / kernel_service파일을 선택하고 종료 단추를 클릭하십시오.
kernel_time 및 kernel_complete 서비스 이름에 대해 위의 단계를 반복하십시오.
Activity Monitor에서 서비스를 종료하더라도 Mac에서 파일을 삭제해야합니다. 그렇게하기 위해 기록한 파일 경로 이름을 사용하여 kernel_service, kernel_time 및 kernel_complete 파일을 탐색하십시오. (참고 : Mac에 이러한 파일이 모두 없을 수도 있습니다.)
삭제해야하는 파일은 홈 폴더의 라이브러리 폴더에 있으므로이 특수 폴더를 볼 수있게해야합니다. 이 작업 방법에 대한 지침은 OS X 에서 라이브러리 폴더 숨기기를 참조하십시오.
라이브러리 폴더에 액세스하면 위의 파일을 휴지통으로 드래그 한 다음 휴지통 아이콘을 마우스 오른쪽 버튼으로 클릭하고 휴지통 비우기를 선택하여 삭제하십시오.