勒索軟體KeRanger攻陷蘋果MAC系統勒索用戶錢財,如何評價MAC OS的系統安全性?
KeRanger 惡意軟體這次的傳播是通過一個叫 Transmission 的 BT 下載軟體來實現的。上周五,KeRanger 感染了 Transmission 最新的 2.90 版本,不知情的用戶下載後就有可能中招。
在一份技術報告中(見本段結尾),Palo Alto Networks(一家在加州的網路和企業安全公司)的 Claud Xiao 和 Jin Chen 分析了 KeRange 能夠攻下 Mac 的原因。
這個 KeRanger 應用是擁有有效的 Mac app 開發證書的;因此,它能夠繞過蘋果的網閘保護。如果一個用戶下載了受感染的應用,一個嵌入式的可運行文件將在系統中運行。
他們還表示,這個 KeRanger 會在電腦潛伏三天,之後連上黑客伺服器對數據進行加密,索要的「贖金」會是 1 比特幣(目前價格約為 402 美元,2610 元人民幣)。
「安全」的 Mac 再中招:勒索軟體入侵,贖金達 400 美元分析報告New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer
3月6號有看到新聞,稍微關注了下,大概是黑客竊取土耳其一家公司的簽名證書(ID Z7276PX673)並通過蘋果商店提示更新到一個下載工具APP」 Transmission「2.9版本,目前蘋果已經責令下架並撤銷此開發人員的簽署,並更新到2.91版本,消除了勒索病毒源頭。病毒名稱:KeRanger病毒類型:勒索病毒(MAC OS Ransomware)作惡手法:加上百種後綴文件,留下勒索信勒索金額:1個Bitcoin
危險等級: 四顆星
Keranger通過遠程通信返回TOR存下私鑰,並且加密此設備的所有文件夾下的各種文件,留下勒索信息:信息內容包括贖金的bitcoin地址,恢復教程等,教程是被加密的電腦擁有者必須發送一枚Bitcoin到黑客指定的比特幣地址下,才能獲取恢復文檔的解密器和私鑰。 所有流程均在Deep NET TOR下執行.全過程實現匿名來逃脫追查。目前已知的TOR C2 KeRanger伺服器有:lclebb6kvohlkcml.onion.link
lclebb6kvohlkcml.onion.nu
bmacyzmea723xyaz.onion.link
bmacyzmea723xyaz.onion.nu
nejdtkok7oz5kjoc.onion.link
nejdtkok7oz5kjoc.onion.nu
勒索信息如圖:
被 KeRanger加密的後綴文件有:
.3dm, .3ds, .3g2, .3gp, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .back, .backup, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .cdb, .cdf, .cdr, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .class, .cls, .cmt, .cnv, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db3, .dbf, .dbr, .dbs, .dc2, .dcr, .dcs, .dcx, .ddd, .ddoc, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .ebd, .edb, .eml, .eps, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fm, .fp7, .fpx, .fxg, .gdb, .gray, .grey, .grw, .gry, .hbk, .hpp, .ibd, .idx, .iif, .indd, .java, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .laccdb, .lua, .m4v, .maf, .mam, .maq, .mar, .maw, .max, .mdb, .mdc, .mde, .mdf, .mdt, .mef, .mfw, .mmw, .mos, .mov, .mp3, .mp4, .mpg, .mpp, .mrw, .mso, .myd, .ndd, .nef, .nk2, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .one, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pbo, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pip, .pl, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .pub, .puz, .py, .qba, .qbb, .qbm, .qbw, .qbx, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rwz, .sas7bdat, .say, .sd0, .sda, .sdf, .snp, .sql, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vob, .vsd, .vsx, .vtx, .wav, .wb2, .wbk, .wdb, .wll, .wmv, .wpd, .wps, .x11, .x3f, .xla, .xlam, .xlb, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpp, .xsn, .yuv, .zip, .tar, .tgz, .gzip, .tib, .sparsebundle
Mac 需要向 Windows 學習 UAC 的展示,現在彈出的框太隨便了,很容易偽造,最好能有一個硬體層面的指示燈,這樣最靠譜。
Mac 關於應用的簽名證書向終端用戶展示這塊非常糟糕
有效的開發者證書就騙過了用戶(或者說系統),還是看看 Windows 的 UAC 是怎麼展示的吧
Mac 現在就像 CNNIC 簽了 Google 的證書,結果大家都看不到╮( ̄▽ ̄")╭Windows的Crytolocker,Cryptowall都已經做了這麼多年,那黑客也要開發一下果粉的市場嘛。軟體本身的實現就是基本的讀寫用戶文件和聯網下載密鑰的許可權。Linux什麼的你照樣可以做得出來,只要有人願意做我估計也就是iPhone不越獄ipa可以防得住這種病毒了無非就是過往針對OS X的病毒比較少,現在出現了也不奇怪。如果要防的話除了不要亂下之外 大部分殺毒軟體都可以攔截這種敏感行為。OS X下也有不少殺毒軟體,只不過你們都覺得蘋果安全 ....(如果你只從Mac App Store那目前確實不會被勒索)
非常不幸的孩子就想問一下中招了現在能怎麼辦...求大神么撈我一把,甚至連贖金頁面都沒收到
推薦閱讀:
※如何權衡馬自達cx-5和昂科威的安全性?
※為什麼生物技術、生物工程專業的學生也懷疑轉基因食品的安全性?
※摩托車品牌中,寶馬的安全性更高嗎?
※RFID的安全威脅有哪些?