KeRanger

KeRanger (även känd som OSX.KeRanger.A ) är en ransomware -trojansk häst som riktar sig mot datorer som kör macOS . Upptäcktes den 4 mars 2016 av Palo Alto Networks och påverkade mer än 7 000 Mac-användare.

KeRanger fjärrexekveras på offrets dator från ett komprometterat installationsprogram för Transmission , en populär BitTorrent- klient som laddas ner från den officiella webbplatsen. Den är gömd i .dmg -filen under General.rtf. .rtf är faktiskt en körbar fil i Mach-O-format packad med UPX 3.91. När användare klickar på dessa infekterade appar kommer deras körbara Transmission.app/Content/MacOS/Transmission att kopiera denna General.rtf-fil till ~/Library/kernel_service och köra denna "kernel_service" innan något användargränssnitt dyker upp. Den krypterar filerna med RSA och RSA public key cryptography , med nyckeln för dekryptering endast lagrad på angriparens servrar. Skadlig programvara skapar sedan en fil, kallad "readme_to_decrypt.txt", i varje mapp. När instruktionerna öppnas ger den offret instruktioner om hur man dekrypterar filerna, vanligtvis kräver en betalning av en bitcoin . Ransomware anses vara en variant av Linux ransomware Linux.Encoder.1 .

Varning utfärdad till Transmission-användare.

Upptäckt

Den 4 mars 2016 lade Palo Alto Networks till Ransomeware.KeRanger.OSX till sin virusdatabas. Två dagar efter publicerade de en beskrivning och en uppdelning av koden.

Fortplantning

Enligt Palo Alto Research Center infekterades KeRanger oftast i Transmission från den officiella webbplatsen som komprometterades, sedan laddades den infekterade .dmg upp för att se ut som den "riktiga " Transmissionen . Efter att det rapporterades publicerade tillverkarna av Transmission en ny nedladdning på webbplatsen och skickade ut en mjukvaruuppdatering.

Det enda sättet som skadlig programvara infekterade offrets dator var genom att använda en giltig utvecklarsignatur utfärdad av Apple, vilket gjorde det möjligt för den att kringgå Apples inbyggda säkerhet.

Krypteringsprocess

"README_FOR_DECRYPTION.txt"-filen placerad i alla mappar.

Första gången den körs kommer KeRanger att skapa tre filer ".kernel_pid", ".kernel_time" och ".kernel_complete" under ~/Library-katalogen och skriva den aktuella tiden till ".kernel_time". Sedan sover den i tre dagar. Efter det kommer den att samla in information om Mac, som inkluderar modellnamnet och UUID . När den har samlat in informationen laddar den upp den till en av dess kommando- och kontrollservrar . Dessa servrars domäner är alla underdomäner av onion[.]link eller onion[.]nu, två domäner som är värd för servrar endast tillgängliga över Tor- nätverket . När den har anslutit till kommando- och kontrollservrarna returnerar den data med filen "README_FOR_DECRYPT.txt". Den berättar sedan för användaren att deras filer har krypterats, etc. och att de måste betala en summa på en bitcoin , vilket brukade vara ungefär $400 i amerikanska dollar .

KeRanger krypterar varje fil (t.ex. Test.docx) genom att först skapa en krypterad version som använder tillägget .encrypted (dvs. Test.docx.encrypted.) För att kryptera varje fil börjar KeRanger med att generera ett slumptal (RN) och krypterar RN:n med RSA-nyckeln hämtad från C2-servern med hjälp av RSA-algoritmen. Den lagrar sedan den krypterade RN i början av den resulterande filen. Därefter kommer den att generera en initialiseringsvektor (IV) med hjälp av originalfilens innehåll och lagra IV i den resulterande filen. Efter det kommer den att blanda RN och IV för att generera en AES-krypteringsnyckel. Slutligen kommer den att använda denna AES-nyckel för att kryptera innehållet i originalfilen och skriva all krypterad data till resultatfilen.

Krypterade filer

Efter att ha anslutit till C2-servern kommer den att hämta krypteringsnyckeln och sedan starta processen. Det kommer först att kryptera mappen "/Users", sedan "/Volumes" Det finns också 300 filtillägg som är krypterade, till exempel:

  • Dokument: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .te
  • Bilder: .jpg, .jpeg
  • Ljud och video: .mp3, .mp4, .avi, .mpg, .wav, .flac
  • Arkiv: .zip, .rar., .tar, .gzip
  • Källkod: .cpp, .asp, .csh, .class, .java, .lua
  • Databas: .db, .sql
  • E-post: .eml
  • Intyg: .pem
Hämtad från " https://en.wikipedia.org/w/index.php?title=KeRanger&oldid=1113309291 "