Kurze Bytes:KeRanger - die erste Mac-Ransomware der Welt - ist da, um Ihnen Albträume zu vermitteln. Verbreitung über BiTorrent Client Transmission, die Malware verschlüsselt Ihre Computerdateien und verlangt eine Bitcoin-Zahlung, um sie zu entschlüsseln.Die Forscher erwähnen, dass sich die Malware derzeit in einer aktiven Entwicklung befindet, und es scheint auch, dass sie versucht, Time Machine-Sicherungsdateien zu verschlüsseln, um den Opfern die Wiederherstellung ihrer Sicherung zu verbieten.

Die Übertragung ist einer der meistgenutzten nicht kommerziellen BitTorrent-Clients und eine beliebte Auswahl von Mac-Benutzern. Die Anwendung hat sich jedoch als das erste OS X-Programm erwiesen, das mit Ransomware infiziert wurde.

Auf der Website Transmissionbt.com werden die Benutzer, die Transmission Client Version 2.90 ausführen, aufgefordert, ihre Anwendung sofort zu aktualisieren und die neueste Version 2.92 auszuführen. Die Website liest, dass es möglich ist, dass Benutzer eine mit Malware infizierte Datei heruntergeladen haben. Die KeRanger-Malware wurde von den Forschern mit Palo Alto Networks Inc. entdeckt und ist die erste funktionierende Ransomware, die Apple Mac-Geräte angreift.

Es ist bekannt, dass die Cyberbedrohung durch Ransomware in den letzten Jahren um ein Vielfaches gestiegen ist. Obwohl bekannt war, dass diese normalerweise auf Benutzer von Windows-Betriebssystemen von Microsoft abzielen, verschlüsselt die neue Malware Ihren Computer und verlangt eine Bitcoin-Zahlung, um ihn zu entschlüsseln.

Nach dem Targeting auf Ihren Mac verschlüsselt die Malware bestimmte Arten von Dokument- und Datendateien. Nachdem der Vorgang abgeschlossen ist, fordert KeRanger das Opfer dazu auf, eine Bitcoin (400 US-Dollar) an eine bestimmte Adresse zu zahlen, um seine Dateien abzurufen. Die Forscher erwähnen, dass sich die Malware derzeit in einer aktiven Entwicklung befindet, und es scheint auch, dass sie versucht, Time Machine-Sicherungsdateien zu verschlüsseln, um den Opfern die Wiederherstellung ihrer Sicherung zu verbieten.

Wenn wir tiefer graben, werden die beiden mit KeRanger infizierten Transmission-Installationsprogramme mit einem legitimen, von Apple ausgestellten Zertifikat signiert, die Entwickler-ID unterscheidet sich jedoch von den Vorgängerversionen. Die mit Ransomware infizierte Datei enthält auch eine zusätzliche Datei mit dem Namen General.rtf, deren Symbol einer normalen RTF-Datei ähnelt, jedoch eine ausführbare Datei im Mach-O-Format ist. "Sobald ein Benutzer auf eine infizierte App klickt, kopiert seine Bundle-Programmdatei diese RTF-Datei nach ~ / Library / kernel_service und führt diesen" kernel_service "aus, bevor eine Benutzeroberfläche erscheint", schreiben die Forscher.

Die General.RTF-Datei sammelt die Geräteinformationen des infizierten Mac und lädt sie auf ihre C2-Server hoch, auf die über .onion-Domänen (TOR) zugegriffen werden kann. Der Rest der Funktionsweise umfasst das Herunterladen einer Textdatei vom C2-Server, die Opfer dazu auffordert, das Geld an der Adresse „1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof“ zu bezahlen.

Hier ist ein Screenshot:

Wie schützen Sie sich vor KeRanger - der ersten Mac-Ransomware der Welt?

  1. Suchen Sie im Finder oder im Terminal Ihres Mac nach /Applications/Transmission.app/Contents/Resources/ General.rtf oder /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf.
  2. Öffnen Sie den vorinstallierten Aktivitätsmonitor in OS X und prüfen Sie, ob ein Prozess mit dem Namen "kernel_service" ausgeführt wird. Wenn ja, wählen Sie Dateien und Ports öffnen und suchen Sie nach einer Datei / Benutzer // Bibliothek / Kernel-Service. Dies ist der Hauptprozess von KeRanger. Sie sollten ihn mit der Option "Force Quit" beenden.
  3. Nach den oben genannten Schritten sollten Benutzer auch prüfen, ob diese Dateien im Verzeichnis ~ / Library vorhanden sind: .kernel_pid, .kernel_time, .kernel_complete oder Kernel_service. Wenn Sie diese suchen, löschen Sie sie.

Apple hat inzwischen die XProtect-Signaturen aktualisiert und Sie werden gewarnt, wenn Sie eine bekannte infizierte Version von Transmission öffnen. Es wird empfohlen, die Anweisungen von Apple zu befolgen, um sich zu schützen.

Arbeitete Für Sie: Robert Gaines & George Fleming | Möchten Sie Uns Kontaktieren?

Kommentare Auf Der Website: