周日Palo Alto Networks的安全研究人员发现了一款隐藏于Transmission安装包中名为“KeRanger”的勒索软件。

KeRanger是第一款被发现针对OS系统的勒索软件，它一旦运行，便会对用户设备进行加密，不仅仅用户正常使用，还对用户发出支付1个比特币(大约2600人民币)的勒索要求。

　　技术分析

据Palo Alto研究者介绍，KeRanger感染的两个Transmission安装包都有苹果公司的合法签名，开发者证书ID是“POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)”，与Transmission之前版本安装包的签名有所不同。代码签名信息显示，这些安装包是3月4日上午生成的。

 

受感染的安装包在Transmission.app/Contents/Resources 目录之下带有一个名为General.rtf的文件。它使用了一个看起来正常的RTF文件图标，实际上却是一个带有UPX 3.91的Mach-O格式可执行文件。

Palo Alto两位研究者Claud Xiao和Jin Chen在文章中称：

　　“当用户点击这些受感染的应用程序时，在任何用户界面出现之前可执行的Transmission.app/Content/MacOS/Transmission会将General.rtf文件复制到~/Library/kernel_service，并执行这一“kernel_service”。”

 

 

在General.rtf执行加密任务前，KeRanger会在~/Library目录之下创建三个文件，分别是“.kernel_pid”、”.kernel_time”和“.kernel_complete”，并在”.kernel_time”记下当前时间。然后，勒索软件会沉睡三天。值得注意的是，在KeRanger的另一样本当中，研究者同样发现了恶意软件会休眠三天，但是它仍每五分钟向C2服务器提出请求。

 

恶意软件会选择性加密系统上特定类型的文档以及数据文件，在加密程序完成之后，KeRanger要求受害者支付1个比特币到特定地址才能赎回他们的文件。此外，KeRanger似乎还在积极开发过程中，而恶意软件似乎试图加密Time Machine，防止受害者恢复他们的备份数据。

 

　　FreeBuf 百科

Transmission是一种BitTorrent客户端，特点是一个跨平台的后端和其上的简洁的用户界面。

勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作，使之不可用，或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低，然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。

　　你的Mac是否被感染了？

 

如果你从开源项目网站下载了Transmission 2.90版本，你可能已经被感染了。如果是软件自身升级，应该就没事。但是多次检查一下还是不会错的。

根据Palo Alto研究者称，可以通过下列事项进行检测：

　　·寻找一个叫做“Applications/Transmission.app/Contents/Resources/General.rtf”或者“/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf”的文件。如果你发现其存在，直接删除你的Transmission应用。

　　·使用Activity Monitor检查“kernel_service”进程是否在运行。如果是，选择应用程序中的“打开文件及端口”，搜索一个名字类似“Users//Library/kernel_service”的文件，然后终止进程。

　　缓解措施

Palo Alto实验室的博客中公布了删除KeRanger的方法，苹果公司也已经撤销了勒索软件作者的数字认证，受感染的Transmission安装包也已经从网站下架。而此次事件为Mac的安全性仍填上了一个不小的问号。

IOCs

　　KeRanger勒索软件样本

d1ac55a4e610380f0ab239fcc1c5f5a42722e8ee1554cba8074bbae4a5f6dbe1Transmission-2.90.dmg

e3ad733cea9eba29e86610050c1a15592e6c77820927b9edeb77310975393574 Transmission

31b6adb633cff2a0f34cefd2a218097f3a9a8176c9363cc70fe41fe02af810b9 General.rtf

d7d765b1ddd235a57a2d13bd065f293a7469594c7e13ea7700e55501206a09b5 Transmission

2.90.dmg

ddc3dbee2a8ea9d8ed93f0843400653a89350612f2914868485476a847c6484a Transmission

6061a554f5997a43c91f49f8aaf40c80a3f547fc6187bee57cd5573641fcf153 General.rtf

　　影响域

lclebb6kvohlkcml.onion[.]link

lclebb6kvohlkcml.onion[.]nu

bmacyzmea723xyaz.onion[.]link

bmacyzmea723xyaz.onion[.]nu

nejdtkok7oz5kjoc.onion[.]link

nejdtkok7oz5kjoc.onion[.]nu

(责任编辑：安博涛)