技術分析
KeRanger受感染的安裝包在Transmission.app/Contents/Resources目錄之下帶有一個名為General.rtf的檔案。它使用了一個看起來正常的RTF檔案圖示,實際上卻是一個帶有UPX3.91的Mach-O格式執行檔。
兩位研究者ClaudXiao和JinChen在文章中稱:“當用戶點擊這些受感染的應用程式時,在任何用戶界面出現之前可執行的Transmission.app/Content/MacOS/Transmission會將General.rtf檔案複製到~/Library/kernel_service,並執行這一“kernel_service”。”
在General.rtf執行加密任務前,KeRanger會在~/Library目錄之下創建三個檔案,分別是“.kernel_pid”、”.kernel_time”和“.kernel_complete”,並在”.kernel_time”記下當前時間。然後,勒索軟體會沉睡三天。值得注意的是,在KeRanger的另一樣本當中,研究者同樣發現了惡意軟體會休眠三天,但是它仍每五分鐘向C2伺服器提出請求。
入侵方式
Transmission是一種BitTorrent客戶端,特點是一個跨平台的後端和其上的簡潔的用戶界面。
勒索軟體是黑客用來劫持用戶資產或資源並以此為條件向用戶勒索錢財的一種惡意軟體。勒索軟體通常會將用戶系統上文檔、郵件、資料庫、原始碼、圖片、壓縮檔案等多種檔案進行某種形式的加密操作,使之不可用,或者通過修改系統配置檔案、干擾用戶正常使用系統的方法使系統的可用性降低,然後通過彈出視窗、對話框或生成文本檔案等的方式向用戶發出勒索通知,要求用戶向指定帳戶匯款來獲得解密檔案的密碼或者獲得恢復系統正常運行的方法。
病毒檢測
根據研究者稱,可以通過下列事項進行檢測:
1、尋找一個叫做“Applications/Transmission.app/Contents/Resources/General.rtf”或者“/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf”的檔案。如果發現其存在,直接刪除Transmission套用。
2、使用ActivityMonitor檢查“kernel_service”進程是否在運行。如果是,選擇應用程式中的“打開檔案及連線埠”,搜尋一個名字類似“Users//Library/kernel_service”的檔案,然後終止進程。
錯誤指示
惡意軟體會選擇性加密系統上特定類型的文檔以及數據檔案,在加密程式完成之後,KeRanger要求受害者支付1個比特幣到特定地址才能贖回他們的檔案。此外,KeRanger似乎還在積極開發過程中,而惡意軟體似乎試圖加密TimeMachine,防止受害者恢復他們的備份數據。
緩解措施
蘋果公司也已經撤銷了勒索軟體作者的數字認證,受感染的Transmission安裝包也已經從網站下架。而此次事件為Mac的安全性仍填上了一個不小的問號。
