Palo Alto Networks、RansomwareをターゲットとするMacを発見
よく知られているセキュリティ会社のPalo Alto Networksは、2016年3月4日に人気のあるMac BitTorrentクライアントであるTransmissionに感染するKeRangerのトランザムウェアの発見を発表しました。 実際のマルウェアは、Transmission version 2.90のインストーラ内に見つかりました。
Transmissionのウェブサイトは、感染したインストーラをすばやく削除し、Transmission 2.90を使用している誰かに、TransmissionによってKeRangerがないことが確認されたバージョン2.92に更新するよう促しています。
感染したインストーラがウェブサイト上でどのようにホストされたか、パロアルトネットワークスがどのように感染サイトが侵害されたかを判断することはできませんでした。
KeRanger Ransomware
KeRangerのトランスクリプトは、ほとんどのransomwareがMac上のファイルを暗号化し、支払いを要求することで機能します。 この場合、ファイルを復元するための暗号化キーを提供するビットコイン(現在は400ドル前後)の形で提供されています。
KeRangerのトランスクリプトは、侵害されたTransmissionインストーラによってインストールされます。 インストーラは有効なMacアプリ開発者証明書を使用して、 過去にOS XのGatekeeperテクノロジーを使用してMacにマルウェアをインストールすることを防ぐことができます。
インストールが完了すると、KeRangerはTorネットワーク上のリモートサーバとの通信を設定します。 その後、3日間寝る。 それが目覚めたら、KeRangerはリモートサーバから暗号鍵を受け取り、感染したMacのファイルを暗号化します 。
暗号化されたファイルには/ Usersフォルダー内のファイルが含まれているため、感染したMacのほとんどのユーザーファイルが暗号化されて使用できなくなります。 さらに、Palo Alto Networksは、接続されているすべてのストレージデバイス(ローカルとネットワークの両方)のマウントポイントを含む/ Volumesフォルダもターゲットであることを報告しています。
現時点では、KeRangerによって暗号化されているTime Machineのバックアップに関する情報が混在していますが、/ Volumesフォルダが対象の場合、Time Machineドライブが暗号化されない理由はありません。 私の推測では、KeRangerは、Time Machineに関する混合レポートが単にトランザムコードのバグであるような新しいトランスクリプトの一部です。 時にはうまくいく、時にはうまくいきません。
アップルは反応する
Palo Alto Networksは、KeRangerのトランスクリプトをAppleとTransmissionの両者に報告しました。 どちらも素早く反応した。 Appleがアプリで使用しているMacアプリ開発者証明書を取り消したため、Gatekeeperは現在のバージョンのKeRangerのインストールを中止することができます。 また、AppleはXProjectシグネチャを更新し、GateKeeperが無効になっていても、またはセキュリティが低い設定に設定されていても、OS Xマルウェア防止システムがKeRangerを認識してインストールを防止することができます。
Transmissionは自分のウェブサイトから2.90のTransmissionを削除し、バージョン2.92のCleanのTransmissionをすぐに再発行しました。 また、ウェブサイトがどのように危険にさらされているのかを調べて、それが再び起きないようにするための対策を講じていると仮定することもできます。
KeRangerを削除する方法
感染したバージョンのTransmissionアプリをダウンロードしてインストールすることは、現在、KeRangerを入手する唯一の方法であることを忘れないでください。 トランスミッションを使用しない場合は、現在KeRangerについて心配する必要はありません。
KeRangerがあなたのMacのファイルをまだ暗号化していない限り、あなたはアプリケーションを削除して暗号化が行われないようにする時間があります。 あなたのMacのファイルがすでに暗号化されている場合、あなたのバックアップが暗号化されていないことを願っている以外は、あまりできることはありません。 これは、常にあなたのMacに接続されていないバックアップドライブを持っているのは非常に良い理由を指摘しています。 一例として、 私はCarbon Copy Clonerを使って、私のMacのデータを毎週複製する 。 クローン作成に必要となるまで、クローンが私のMacにマウントされていないドライブハウジング。
もし私がランサムウェアの状況に遭遇したならば、私は毎週のクローンから復元することで回復できました。 毎週のクローンを使用する場合の唯一のペナルティは、ファイルを1週間まで古いものにすることですが、それは悪質なクレチンを身代金として支払うよりもはるかに優れています。
KeRangerがすでにトラップを抱えているという不幸な状況に遭遇した場合、私は身代金を支払うか、 OS Xを再ロードしてクリーンインストールをやり直す以外の方法はありません。
トランスミッションを取り外す
Finderで 、/ Applicationsに移動します。
送信アプリを見つけて、そのアイコンを右クリックします。
ポップアップメニューから「パッケージ内容を表示」を選択します。
開いたFinderウィンドウで、/ Contents / Resources /に移動します。
General.rtfというラベルの付いたファイルを探します。
General.rtfファイルが存在する場合、感染したバージョンのTransmissionがインストールされています。 送信アプリが実行中の場合は、アプリを終了してゴミ箱にドラッグし、ごみ箱を空にします。
KeRangerを削除する
/ Applications / UtilitiesにあるActivity Monitorを起動します。
アクティビティモニタで、CPUタブを選択します。
アクティビティモニターの検索フィールドに、次のように入力します。
kernel_serviceReturnキーを押します。
サービスが存在する場合は、アクティビティモニターのウィンドウに表示されます。
存在する場合は、アクティビティモニターでプロセス名をダブルクリックします。
開いたウィンドウで、[ファイルとポートを開く]ボタンをクリックします。
kernel_serviceのパス名を記録します。 おそらく次のようなものになります:
/ users / homefoldername / Library / kernel_serviceファイルを選択し、終了ボタンをクリックします。
kernel_timeとkernel_completeのサービス名について上記を繰り返します 。
アクティビティモニター内でサービスを終了しても、Macからファイルを削除する必要があります。 これを行うには、メモしたファイルパス名を使用してkernel_service、kernel_time、およびkernel_completeファイルに移動します。 (注:これらのファイルはすべてあなたのMacに存在するとは限りません)。
削除する必要があるファイルはホームフォルダのライブラリフォルダにありますので、この特別なフォルダを表示させる必要があります。 これを行う方法については、「 OS Xがライブラリフォルダを隠しています」の記事を参照してください。
ライブラリフォルダにアクセスできるようになったら、上記のファイルをゴミ箱にドラッグして削除し、ゴミ箱アイコンを右クリックし、ゴミ箱を空にするを選択します。