如果你是星期五下载和安装新版本的传输的一个不幸的人之一,一个洪流下载应用程序,今天是你的清算日:你的信息,以及你对自己支柱的访问权限可能会被提出来赎金。
Mac用户以前从未接触到完全实现的勒索软件,并且有充分的理由:苹果产品一直是防御病毒的相对据点。但是这个安装程序掩盖了恶意程序KeRanger,并给了它一个为期三天的休眠期。 Transmission是比较流行,简单和直观的BitTorrent客户端之一,它使用户可以轻松下载种子,无论是专辑,节目,电影还是等等。
在那个命运的第三天 - 恰好是今天 - 那些安装了传输版本2.90并且享受了三个欢腾的好日子的人在下午2点遇到了粗鲁的赎金票据。东部时间:KeRanger加密了不幸的Mac的内容并要求1比特币 - 相当于今天,大约409美元 - 来解密所述数据。加密了300多种不同类型的文件扩展名,很少有人幸免。
传感器的John Clay给了 逆 更全面的故事:
“我们将在接下来的几天内发布更多信息,但我们最好的猜测是,大约有6,500个受感染的磁盘映像被下载(此版本的数万次合法下载)。其中,我们的假设是许多人无法运行受感染的文件,因为Apple会迅速撤销用于签署二进制文件的证书,以及更新XProtect定义。我们正在等待Apple的确认。
“Sparkle自动更新机制没有受到损害,并且由于散列不同而无法更新到受感染的二进制文件。此外,我们的第三方缓存(CacheFly)没有受到损害,这是许多软件更新网站链接到的地方(MacUpdate等)。我们还确认,受感染版本的用户可以成功自动更新到2.91或2.92的合法版本,其中2.92主动尝试删除恶意软件。“
如果您使用传输,这里是如何检查您自己的计算机是否被感染:
- 打开Applications / Utilities中的内置Activity Monitor。
- 在“磁盘”选项卡下,搜索“kernel_service”。 (“kernel_task”是无害的,是OSX的重要组成部分;如果你看到该进程正在运行,请不要惊慌。)
赎金票据在这里是可见的,因为它的创作者无可置疑地感到遗憾,这是一种奇怪的礼貌。首先,“您的计算机已被锁定,所有文件都已使用2048位RSA加密进行加密。”
传输快速响应并更新其安装程序以排除并据称从受感染的计算机中删除KeRanger。
其中一位发现勒索软件的研究人员 - Claud Xiao--正在积极传播这个词:
人们,这是我唯一一次请求你帮助传播新闻。 #KeRanger旨在于下周一早上开始加密!
- Claud Xiao(@claud_xiao)2016年3月6日
#Transmission刚刚推送2.92更新,其中包括检测和删除#KeRanger勒索软件的代码。在星期一上午11:00之前更新。
- Claud Xiao(@claud_xiao)2016年3月6日
它还警告所有正在更新该计划的人:
Apple还通过删除该版本的安装程序认证作出回应 - 该认证允许勒索软件绕过通常严格的GateKeeper和XProtect,以保证Mac的安全。
Palo Alto Networks暴露了安全漏洞。有关完整报告和自我保护指南,请查看此处。