在Windows系統上有勒索軟體大家都已經習以為常,不過在OS X上就還尚未出現過,不過在OS X用戶數足見攀高狀況下,最近有黑客已經將目標轉向OS X上,美國資安軟體製造商Palo Alto Networks的Claud Xiao和Jin Chen就在3/4發現了史上第一支MAC OS X勒索軟體「KeRanger」,將會有多人遭受感染。
KeRanger如何植入與感染?
這支勒索軟體KeRanger的開發者相當聰明,是直接透過知名BitTorrent程式Transmission進行攻擊,首先是將Transmission官方網站防護機制攻破,撤換經過修改夾帶KeRanger的安裝檔,而這個KeRanger應用本身是利用一個真正有效的Mac App開發證書,來完美繞過蘋果防護安全機制,導致用戶在安裝v2.90版本就會引發感染該勒索軟體。
美國資安軟體製造商Palo Alto Networks在上週五3/4時發現,Transmission網站推出最新的v2.90版本中,有遭受黑客進行攻擊注入勒索軟體KeRanger,Palo Alto Networks的Claud Xiao和Jin Chen表示KeRanger會有三天的潛伏期,之後會自動連上駭客所架設伺服器,系統會替所有檔案進行加密,當完成加密時所有檔案就遭鎖定無法開啟,此時會跳出勒索訊息你要支付10比特幣 (價值409美元,約13,486台幣)來進行解鎖救回重要檔案,Transmission網站發現該問題,立即在自己官方網站放上警告標語,如果你是在3月4日早上11點到3月5日晚上7點有下載過官方網頁上的Transmission v2.90版本,建議用戶趕緊升級上v2.92版本,新版本程式能自動移除KeRanger。
蘋果接獲這消息後,也表示已經在第一時間下將該認證撤銷,防止KeRanger可以安裝進OS X上。
KeRanger 檢查遭受感染方法
1.如果有安裝Transmission請立即更新到最新v.2.92以上版本或刪除。
2.打開OS X上的活動監視程式(位置在工具程式資料夾內),在CPU類別中檢查看看是否有「kernel_service」這程序名稱再執行?
如果有,請連點兩下開啟視窗,選擇「打開的檔案和傳輸」,檢查看看裡面是否有類似「/Users//Library/kernel_service」文件名稱,如果有這就是中了KeRanger勒索軟體,直接點選底下的「結束」按鈕來強制停止,並且在到「/Users//Library/kernel_service」內去移除General.rtf檔案。(此為範例圖)
