14.03.2016, 19:39
Z początkiem marca liczne mass-media, strony www i blogi ogłosiły pojawienie się pierwszego w historii ransomware dla komputerów Mac. Specjaliści Doctor Web przebadali ten złośliwy program, nazwany Mac.Trojan.KeRanger.2 i opracowali metodę która może pomóc w odszyfrowaniu plików zaatakowanych przez tego trojana.
Gdy Mac.Trojan.KeRanger.2 zostanie zainstalowany na zainfekowanym komputerze, odczekuje trzy dni przed podłączeniem się do serwera C&C poprzez sieć TOR. Następnie uruchamia procedurę szyfrującą. Najpierw trojan szyfruje wszystkie pliki do których ma dostęp z pomocą uprawnień użytkownika lub administratora (root’a). Następnie Mac.Trojan.KeRanger.2 próbuje zaszyfrować zawartość partycji logicznej /Volumes, to jest plików zapisanych na dysku twardym i na podmontowanych partycjach logicznych. W tym przypadku pliki są szyfrowane zgodnie z listą wbudowaną w trojana zawierającą 313 różnych typów plików, włączając pliki tekstowe i obrazy. Przed szyfrowaniem trojan pobiera z serwera klucz szyfrujący i plik z żądaniami cyberprzestępców. Ten program ransomware może być rozpoznany na podstawie faktu dodawania przez niego do nazw wszystkich zaszyfrowanych plików rozszerzenia “.encrypted” i osadzania we wszystkich katalogach pliku “README_FOR_DECRYPT.txt”.
Analitycy bezpieczeństwa Doctor Web opracowali nową technikę która, w większości przypadków, pomaga w odszyfrowaniu plików zaatakowanych przez to malware.
Jeśli stałeś się ofiarą Mac.Trojan.KeRanger.2, postępuj zgodnie z poniższymi wskazówkami:
* Powiadom policję.
* Pod żadnym pozorem nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
* Nie kasuj żadnych plików z komputera.
* Nie próbuj samodzielnie przywracać zaszyfrowanych danych.
* Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web).
* Załącz plik zaszyfrowany przez trojana do swojego zgłoszenia.
* Poczekaj na odpowiedź od wsparcia technicznego. Z przyczyny na dużą liczbę zgłoszeń może to zająć nieco czasu.
* Chcemy jeszcze raz zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web. Aby uzyskać więcej informacji o tym, w jaki sposób można założyć zgłoszenie z prośbą o odszyfrowanie plików, skorzystaj z tego linku. Doctor Web nie gwarantuje, że wszystkie Twoje pliki będą odszyfrowane z powodzeniem, jednakże nasi specjaliści zrobią wszystko, co w ich mocy, aby odzyskać zaszyfrowane dane.
Źródło: Dr. Web
[Aby zobaczyć linki, zarejestruj się tutaj]
Mac.Trojan.KeRanger.2 został wykryty w zmodyfikowanych wersjach instalatora popularnego klienta torrent dla Mac OS X dystrybuowanego w postaci pliku DMG. Ta złośliwa aplikacja została podpisana ważnym certyfikatem twórców aplikacji dla “Maków”. Tym samym ten program z powodzeniem ominął mechanizmy ochrony Apple Gatekeeper.Gdy Mac.Trojan.KeRanger.2 zostanie zainstalowany na zainfekowanym komputerze, odczekuje trzy dni przed podłączeniem się do serwera C&C poprzez sieć TOR. Następnie uruchamia procedurę szyfrującą. Najpierw trojan szyfruje wszystkie pliki do których ma dostęp z pomocą uprawnień użytkownika lub administratora (root’a). Następnie Mac.Trojan.KeRanger.2 próbuje zaszyfrować zawartość partycji logicznej /Volumes, to jest plików zapisanych na dysku twardym i na podmontowanych partycjach logicznych. W tym przypadku pliki są szyfrowane zgodnie z listą wbudowaną w trojana zawierającą 313 różnych typów plików, włączając pliki tekstowe i obrazy. Przed szyfrowaniem trojan pobiera z serwera klucz szyfrujący i plik z żądaniami cyberprzestępców. Ten program ransomware może być rozpoznany na podstawie faktu dodawania przez niego do nazw wszystkich zaszyfrowanych plików rozszerzenia “.encrypted” i osadzania we wszystkich katalogach pliku “README_FOR_DECRYPT.txt”.
Analitycy bezpieczeństwa Doctor Web opracowali nową technikę która, w większości przypadków, pomaga w odszyfrowaniu plików zaatakowanych przez to malware.
Jeśli stałeś się ofiarą Mac.Trojan.KeRanger.2, postępuj zgodnie z poniższymi wskazówkami:
* Powiadom policję.
* Pod żadnym pozorem nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
* Nie kasuj żadnych plików z komputera.
* Nie próbuj samodzielnie przywracać zaszyfrowanych danych.
* Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web).
* Załącz plik zaszyfrowany przez trojana do swojego zgłoszenia.
* Poczekaj na odpowiedź od wsparcia technicznego. Z przyczyny na dużą liczbę zgłoszeń może to zająć nieco czasu.
* Chcemy jeszcze raz zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web. Aby uzyskać więcej informacji o tym, w jaki sposób można założyć zgłoszenie z prośbą o odszyfrowanie plików, skorzystaj z tego linku. Doctor Web nie gwarantuje, że wszystkie Twoje pliki będą odszyfrowane z powodzeniem, jednakże nasi specjaliści zrobią wszystko, co w ich mocy, aby odzyskać zaszyfrowane dane.
Źródło: Dr. Web
