Mac-användare riktade till KeRanger ransomware – här tar du bort det

0 Shares

ransomware_keyboard_button_dollar

Ransomware är ett växande problem, där företag och privatpersoner alltmer krypteras och hålls kvar i lösen. Som med så många former av skadlig kod har det varit PC-användare som har drabbats av attackerna, men under helgen var det Mac-ägare som riktades mot KeRanger-ransomware.

Den skadliga programvaran uppträdde först på fredagen och sägs vara det första fullt fungerande exemplet på ransomware riktad till Apple-enheter. KeRanger visade sig vara installerat bredvid Transmission BitTorrent-klienten, och medan Apple har använt sitt Gatekeeper-säkerhetssystem för att förhindra ytterligare infektioner, om du har installerat Transmission 2.90 finns det steg du måste ta för att städa upp ditt system.

Som med andra exempel på ransomware krypterar KeRanger filer på infekterade system och kräver att lösen betalas för att dekryptera dem – i detta fall var lösen 1 Bitcoin. KeRanger kunde kringgå Apples Gatekeeper eftersom den undertecknades med ett giltigt Mac-apputvecklingscertifikat. Palo Alto förklarar hur det fungerar:

Om en användare installerar de infekterade apparna körs en inbäddad körbar fil på systemet. KeRanger väntar sedan i tre dagar innan den ansluter till C2-servrar via Tor anonymizer-nätverk. Skadlig kod börjar sedan kryptera vissa typer av dokument- och datafiler i systemet. Efter att krypteringsprocessen har slutförts kräver KeRanger att offren betalar en bitcoin (cirka $ 400) till en specifik adress för att hämta sina filer. Dessutom verkar KeRanger fortfarande vara under aktiv utveckling och det verkar som att skadlig kod också försöker kryptera Time Machine-säkerhetskopieringsfiler för att förhindra offren från att återställa sina säkerhetskopieringsdata.

Medan Apple har vidtagit åtgärder för att förhindra ytterligare infektioner, kommer detta inte att göra något för att skydda system som redan har drabbats av skadlig programvara. Säkerhetsexperter på Palo Alto föreslår följande steg för att ta bort KeRanger:

Använd antingen Terminal eller Finder och kontrollera om /Applications/Transmission.app/Contents/Resources/ General.rtf eller /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf finns. Om någon av dessa finns, är överföringsapplikationen infekterad och vi föreslår att du tar bort den här versionen av överföringen. Med hjälp av Activity Monitor förinstallerat i OS X, kontrollera om någon process med namnet “kernel_service” körs. Kontrollera i så fall processen, välj “Öppna filer och portar” och kontrollera om det finns ett filnamn som “/ Användare / / Bibliotek / kernel_service”. I så fall är processen KeRangers huvudprocess. Vi föreslår att du avslutar den med “Avsluta -> Tvinga Avsluta”. Efter dessa steg rekommenderar vi också användare att kontrollera om filerna “.kernel_pid”, “.kernel_time”, “.kernel_complete” eller “kernel_service” finns i ~ / Library-katalogen. Om så är fallet bör du ta bort dem.

Alternativt kan du installera Transmission 2.92 som automatiskt ska ta bort KeRanger.

Fotokredit: Ton Snoei / Shutterstock

0 Shares