[OS X安全]史上第一支MAC OSX勒索軟體KeRanger現身！含解決方法

 
在Windows系統上有勒索軟體大家都已經習以為常，不過在OS X上就還尚未出現過，不過在OS X用戶數足見攀高狀況下，最近有黑客已經將目標轉向OS X上，美國資安軟體製造商Palo Alto Networks的Claud Xiao和Jin Chen就在3/4發現了史上第一支MAC OS X勒索軟體「KeRanger」，將會有多人遭受感染。

KeRanger如何植入與感染？

這支勒索軟體KeRanger的開發者相當聰明，是直接透過知名BitTorrent程式Transmission進行攻擊，首先是將Transmission官方網站防護機制攻破，撤換經過修改夾帶KeRanger的安裝檔，而這個KeRanger應用本身是利用一個真正有效的Mac App開發證書，來完美繞過蘋果防護安全機制，導致用戶在安裝v2.90版本就會引發感染該勒索軟體。
 
美國資安軟體製造商Palo Alto Networks在上週五3/4時發現，Transmission網站推出最新的v2.90版本中，有遭受黑客進行攻擊注入勒索軟體KeRanger，Palo Alto Networks的Claud Xiao和Jin Chen表示KeRanger會有三天的潛伏期，之後會自動連上駭客所架設伺服器，系統會替所有檔案進行加密，當完成加密時所有檔案就遭鎖定無法開啟，此時會跳出勒索訊息你要支付10比特幣 （價值409美元，約13,486台幣）來進行解鎖救回重要檔案，Transmission網站發現該問題，立即在自己官方網站放上警告標語，如果你是在3月4日早上11點到3月5日晚上7點有下載過官方網頁上的Transmission v2.90版本，建議用戶趕緊升級上v2.92版本，新版本程式能自動移除KeRanger。

蘋果接獲這消息後，也表示已經在第一時間下將該認證撤銷，防止KeRanger可以安裝進OS X上。




 

KeRanger 檢查遭受感染方法

1.如果有安裝Transmission請立即更新到最新v.2.92以上版本或刪除。
2.打開OS X上的活動監視程式（位置在工具程式資料夾內），在CPU類別中檢查看看是否有「kernel_service」這程序名稱再執行？
 
如果有，請連點兩下開啟視窗，選擇「打開的檔案和傳輸」，檢查看看裡面是否有類似「/Users//Library/kernel_service」文件名稱，如果有這就是中了KeRanger勒索軟體，直接點選底下的「結束」按鈕來強制停止，並且在到「/Users//Library/kernel_service」內去移除General.rtf檔案。（此為範例圖）