KeRanger: как уберечь файлы и деньги.

4 марта исследователи компаниии Palo Alto Networks обнаружили чужеродный компонент в установочном пакете торрент-клиента Transmission, размещенном на сайте компании-производителя. Им оказался представитель семейства зловредов, предназначенного для вымогательства денег у владельцев зараженных компьютеров. Троян получил название KeRanger и моментально получил широкую известность, поскольку стал первым полноценным образцом подобных программ, написанных под Mac OS X. Его единственный предшественник, FileCoder, был обнаружен в 2014 году, но оказался безопасным, поскольку не производил никаких деструктивных действий.

В Palo Alto предположили, что сервер Transmission был взломан (эту версию позднее подтвердил официальный представитель команды) и оригинальный дистрибутив программы подменен инфицированным. Инсталлятор имел оригинальный сертификат разработчика, выданный Apple, что позволило успешно обойти встроенную защиту Gatekeeper и обеспечить запуск трояна на компьютере. Через 3 дня после установки KeRanger начинает шифровать все файлы в “домашних” папках пользователя, а также файлы следующих форматов независимо от их расположения на диске: документы (тексты, таблицы и презентации), изображения, аудио и видео, архивы, базы данных, почтовые сообщения и сертификаты. После завершения процесса хозяин компьютера получает предложение расстаться с одним биткойном (порядка $400) в обмен на расшифровку данных.

Вероятность того, что именно у вас есть причины для беспокойства, невелика. Зараженный дистрибутив Transmission версии 2.90 был доступен на сайте c 22:00 4 марта до 06:00 6 марта (время московское) и за это время, по данным разработчиков, его скачали всего около 7000 раз. Если в указанный промежуток времени вы занимались чем-то более творческим, можно расслабиться и облегченно вздохнуть. Впрочем, аналогично может поступить любой, кто зловреда качнул, но поленился установить – в таком случае не поленитесь его удалить и скачать заново “чистый” дистрибутив.

Представители Palo Alto оперативно уведомили о находке все заинтересованные стороны. В Apple первым делом аннулировали засвеченный сертификат разработчика и обновили сигнатуры XProtect, так что любая попытка запуска инфицированной версии торрент-клиента будет сопровождаться стандартным предупреждением OS X и предложением удалить приложение в Корзину. Тем временем команда Transmission удалила заразу с сервера и выложила версию 2.92, которая снабжена скриптом, зачищающим инфицированную систему от присутствия трояна. Если вы сомневаетесь – просто скачайте дистрибутив, установите и запустите программу. Все необходимые действия произойдут без вашего участия.

Тому, кто не доверяет машинам, эксперты рекомендуют проверить все самостоятельно:

1. Найти файл Transmission в папке Программы, кликнуть на нем правой кнопкой мыши и выбрать пункт меню “Показать содержимое пакета”. Затем проверить, нет ли в папке Contents/Resources/ файла General.rtf. Если такой найдется, вам есть о чем беспокоиться – троян уже обосновался в системе. Можно смело приступать к следующему пункту.

2. Запустить стандартный Мониторинг системы и поискать запущенный процесс под названием “kernel_service”. Двойной клик на нем откроет окошко дополнительных сведений, тут нас интересует вкладка “Открытые файлы и порты”. Если увидите там запись вида “Users/имя_вашей_учетной_записи/Library/kernel_service” – не сомневайтесь, это и есть троян. Теперь лучше всего ткнуть в кнопку “Завершить” в левом нижнем углу окна и проголосовать за вариант “Завершить принудительно”.

3. Проследовать в папку Библиотека вашей учетной записи и удалить файлы .kernel_pid, .kernel_time и .kernel_complete. Стоит заметить, что для этой оперции вам понадобится более продвинутый файловый менеджер. Стандартный Finder этих файлов не покажет, поскольку их имена начинаются с точки.

На этом борьбу с инородцем можно считать законченной. Если же вы спохватились слишком поздно и файлы уже зашифрованы, самый простой способ выйти из ситуации без потерь – воспользоваться резервной копией Time Machine. Или любой другой, тут главное, чтобы она в принципе существовала, поскольку без нее вариантов только два: вы потеряете либо деньги, либо файлы.

Bookmark and Share