網誌節錄如下:
3月4日,用於蘋果作業系統Mac OS X用戶端的BitTorrent 用戶端安裝程式在發佈幾個小時後,我們偵測到其已被勒索軟件感染,並將其命名為 「KeRanger」。之前唯一為大眾所熟知的針對OS X的勒索軟件為「FileCoder」由卡巴斯基實驗室於2014年發現,由於在發現的時候FileCoder尚不完整,所以我們認為KeRanger是在OS X平台上被發現的首個全功能勒索軟件。
3月4日早上,攻擊者使用KeRanger感染了兩個Transmission 2.90版本的安裝文件,當我們發現這個問題時,受到感染的DMG檔依舊可從開源專案Transmission的網址(https://download.transmissionbt.com/files/Transmission-2.90.dmg)上進行下載。很有可能Transmission 官網已被攻陷,上面的檔案已被重新編譯的惡意軟件所取代,但我們無法確認這次感染是如何發生的。
由於KeRanger應用簽署了一個有效的Mac 應用程式開發證書,因此可以繞過蘋果的GateKeeper 防護。一旦用戶安裝了該被感染應用程式,內嵌的可執行檔就會在系統上運行,三天後,KeRanger就會通過Tor匿名網絡與命令與控制(C2)伺服器連接,之後惡意軟件就開始對系統上某些特定的文檔和資料檔案進行加密。加密完成後,KeRanger就會要求受害者向一指定的位址支付一個比特幣(約400美元),以贖回文件。另外,有跡象表明KeRanger仍處於活躍開發中,似乎它同時也試圖對系統備份檔案Time Machine進行加密,以阻止受害者恢復其備份資料。
3月4日當天,Palo Alto Networks便向 Transmission 專案組以及蘋果公司報告了該勒索軟件問題,蘋果公司因此廢除了這個有爭議的證書,並且更新了其XProtect 防病毒簽名,Transmission Project已將該惡意軟件安裝程式從其網站上移除。同時,Palo Alto Networks也更新了其URL 過濾和威脅防禦功能,以阻止KeRanger對系統的影響。
如何實現自我保護
從太平洋標準時間2016年3月4日上午11時至2016年3月5日下午7時,這個時段裡直接從官網上下載Transmission 安裝程式的使用者,很可能已經受到了KeRanger的感染。如果用戶是之前下載了Transmission安裝程式或者是從第三方網站下載,我們也建議用戶進行如下安全檢查操作,但舊版的Transmission目前為止還未出現受到感染的跡象。
我們建議用戶執行以下操作,以確定是否已受KeRanger感染並將其移除,以免文件被用於勒索而被控制:
1. 使用Terminal 或者Finder,檢查/Applications/Transmission.app/Contents/Resources/路徑下或/Volumes/Transmission/Transmission.app/Contents/Resources/是否有檔General.rtf存在。如果有,則表明Transmission應用已被感染,我們建議將該版本Transmission刪除。
2. 借助預先安裝在OS X裡的 Activity Monitor 功能,檢查是否有一個名為「kernel_service」的程式在運行。如果是,再次檢查該程式,選擇「Open Files and Ports」 檢查是否有這樣一個檔案名 「/Users/<username>/Library/kernel_service」。如果有,那麼這個程式就是KeRanger的主程式,我們建議點擊 「Quit -> Force Quit」來終止這個程式。
3. 經過以上檢查後,我們建議使用者檢查一下,在路徑~/Library directory中是否有檔案名為「.kernel_pid」,「.kernel_time」, 「.kernel_complete」 和 「kernel_service」的檔存在,如果有,請刪除。
鑒於蘋果公司已經撤銷了這個有爭議的證書,並且更新了XProtect 簽名,當有用戶試圖打開一個已經證明為受感染的Transmission版本時,就會出現一個警告框上面寫著「Transmission 應用將損壞你的電腦,請將其刪除至回收站」,或者「Transmission檔無法打開,請彈出此硬碟映像」。一旦出現該警告提示,我們建議您按照蘋果公司的建議進行操作,以避免被感染。
有關KeRanger 勒索軟件更多細節,請閱讀有關網誌全文: http://researchcenter.paloaltonetworks.com/unit42/