KeRanger — первый троян шифровальщик для OS X

Троян, который шифрует файлы поразил компьютеры Apple. До этого дня ни один пользователь OS X не подвергался атаке подобных вирусов. Шифровальшик, который назвали KeRanger шифрует файлы множества типов. Компьютеры яблочной ОС оказались зараженными из — за взломанного дистрибутива программы Transmission ( торрент программы для OS X). А теперь подробнее про KeRanger

Как произошло заражение программой KeRanger

transmisson

4 марта 2016 года неизвестные взломали сайт разработчика ПО transmissonBT, после чего изменили оригинальный файл торрент-клиента, своей версией.

general_rtf

В процессе заражения компьютера вирус KeRanger копирует исполняемый файл General.rtf в каталог  ~/Library/kernel_service маскируя себя под RTF документ. Также вирус копирует себя в kernel_service где создает 2 файла:

  • ~/Library/.kernel_pid
  • ~/Library/.kernel_time

Из которых впоследствии считывает временную метку, сравнивая текущее время с датой создания этих файлов.

По истечении 3 дней вирус активируется по защищенным каналам сети TOR соединяется со следующими адресами своего центра управления:

lclebb6kvohlkcml.onion.link
lclebb6kvohlkcml.onion.nu
bmacyzmea723xyaz.onion.link
bmacyzmea723xyaz.onion.nu
nejdtkok7oz5kjoc.onion.link
nejdtkok7oz5kjoc.onion.nu

откуда он получает ключи шифрования. После того, как ключи шифрования были получены от управляющего центра KeRanger в действие вступает программа, которая шифрует все файлы, которые найдет на компьютере. Шифровке подвергаются файлы со следующими расширениями:

.3dm, .3ds, .3g2, .3gp, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .back, .backup, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .cdb, .cdf, .cdr, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .class, .cls, .cmt, .cnv, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db3, .dbf, .dbr, .dbs, .dc2, .dcr, .dcs, .dcx, .ddd, .ddoc, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .ebd, .edb, .eml, .eps, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fm, .fp7, .fpx, .fxg, .gdb, .gray, .grey, .grw, .gry, .hbk, .hpp, .ibd, .idx, .iif, .indd, .java, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .laccdb, .lua, .m4v, .maf, .mam, .maq, .mar, .maw, .max, .mdb, .mdc, .mde, .mdf, .mdt, .mef, .mfw, .mmw, .mos, .mov, .mp3, .mp4, .mpg, .mpp, .mrw, .mso, .myd, .ndd, .nef, .nk2, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .one, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pbo, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pip, .pl, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .pub, .puz, .py, .qba, .qbb, .qbm, .qbw, .qbx, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rwz, .sas7bdat, .say, .sd0, .sda, .sdf, .snp, .sql, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vob, .vsd, .vsx, .vtx, .wav, .wb2, .wbk, .wdb, .wll, .wmv, .wpd, .wps, .x11, .x3f, .xla, .xlam, .xlb, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpp, .xsn, .yuv, .zip, .tar, .tgz, .gzip, .tib, .sparsebundle

keranger, файлы, decrypt

У каждого зашифрованного файла меняется расширение на .encrypted

При этом, в каждой папке, в которой были зашифрованы файлы, KeRanger создает файл с названием README_FOR_DECRYPT.txt, содержащий требование выкупа.

readme_for_decrypt_txt keranger
По окончании шифрования троян создает файл в каталоге  ~/Library/.kernel_complete содержащий требование на англ. языке (Не трогайте это). Вероятно, по окончании шифрования вирус заносит сюда уникальный ключ, без которого расшифровать файлы невозможно.

За дешифровку файлов злоумышленники требует с жертвы сумму в размере 1 BTC (по текущему курсу — это около 410 $).

Как удалить KeRanger

Была выпущена бесплатная утилита для удаления вируса-шифровальшика. Скачать ее можно здесь. К сожалению она НЕ МОЖЕТ вернуть ваши файлы. Расшифровать их можно только заплатив выкуп или воспользовавшись резервной копией. Данная программа помещает в карантин все файлы связанные с вымогателем Keranger, а также создает список зашифрованных файлов.

Файлы которые относятся к трояну KeRanger

~/Desktop/README_FOR_DECRYPT.txt
~/Library/.kernel_complete
~/Library/.kernel_pid
~/Library/.kernel_time
~/Applications/Transmission.app/Contents/Resources/General.rtf
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

Трояны вымогатели или Ransomware приобрели популярность сравнительно недавно. Принцип их работы заключается в том, что все файлы, которые могут представлять какую-либо ценность для пользователя шифруются стойким алгоритмом, который невозможно расшифровать не зная ключа. Как правило, выкуп за дешифровку уплачивается в криптовалюте биткойн.

Самой лучшей защитой от троянов шифровальшиков, как это ни странно, является создание резервных копий самых важных файлов.

Чтобы узнавать больше подписывайтесь на Телеграм-канал Блог компьютерного мастера

Добавить комментарий

Ваш адрес email не будет опубликован.

восемнадцать + 20 =