OSX.Keranger

CH azonosító

CH-13088

Angol cím

OSX.Keranger

Felfedezés dátuma

2016.03.07.

Súlyosság

Közepes

Érintett rendszerek

Apple
Mac OS X

Érintett verziók

MAC OSX

Összefoglaló

Az OSX.Keranger nevű, MAC OS X operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A kártevő az első teljes értékű MAC OS X-re íródott ransomware típusú káros kód, melyet nemrégiben sikeresen terjesztettek az operációs rendszert használók körében, a népszerű transmission hivatalos weboldaláról a program 2.90-es verziójával. A kártevő a telepítést követően csak 3 nappal kezdi meg működését. A támadás menete megegyezik a más rendszerekben megismert eljárásokhoz. 

A kártékony kód aktiválódás után, létrehozza az alábbi állományokat:

  • ~/Library/kernel_service
  • ~/Library/.kernel_complete

Titkosítja az alábbi kiterjesztésű állományokat a /Volumes és almappáiban:

  • 3dm
  • .3ds
  • .3g2
  • .3gp
  • .7z
  • .ab4
  • .accdb
  • .accde
  • .accdr
  • .accdt
  • .ach
  • .acr
  • .act
  • .adb
  • .ads
  • .ai
  • .ait
  • .al
  • .apj
  • .arw
  • .asf
  • .asm
  • .asp
  • .asx
  • .avi
  • .back
  • .backup
  • .bak
  • .bank
  • .bay
  • .bdb
  • .bgt
  • .bik
  • .bkf
  • .bkp
  • .blend
  • .bpw
  • .c
  • .cdb
  • .cdf
  • .cdr
  • .cdx
  • .ce1
  • .ce2
  • .cer
  • .cfp
  • .cgm
  • .class
  • .cls
  • .cmt
  • .cnv
  • .cpi
  • .cpp
  • .cr2
  • .craw
  • .crt
  • .crw
  • .cs
  • .csh
  • .csl
  • .csv
  • .dac
  • .db
  • .db3
  • .dbf
  • .dbr
  • .dbs
  • .dc2
  • .dcr
  • .dcs
  • .dcx
  • .ddd
  • .ddoc
  • .dds
  • .der
  • .des
  • .design
  • .dgc
  • .djvu
  • .dng
  • .doc
  • .docm
  • .docx
  • .dot
  • .dotm
  • .dotx
  • .drf
  • .drw
  • .dtd
  • .dwg
  • .dxb
  • .dxf
  • .dxg
  • .ebd
  • .edb
  • .eml
  • .eps
  • .erf
  • .exf
  • .fdb
  • .ffd
  • .fff
  • .fh
  • .fhd
  • .fla
  • .flac
  • .flv
  • .fm
  • .fp7
  • .fpx
  • .fxg
  • .gdb
  • .gray
  • .grey
  • .grw
  • .gry
  • .gzip
  • .h
  • .hbk
  • .hpp
  • .ibd
  • .idx
  • .iif
  • .indd
  • .java
  • .jpe
  • .jpeg
  • .jpg
  • .kdbx
  • .kdc
  • .key
  • .laccdb
  • .lua
  • .m
  • .m4v
  • .maf
  • .mam
  • .maq
  • .mar
  • .maw
  • .max
  • .mdb
  • .mdc
  • .mde
  • .mdf
  • .mdt
  • .mef
  • .mfw
  • .mmw
  • .mos
  • .mov
  • .mp3
  • .mp4
  • .mpg
  • .mpp
  • .mrw
  • .mso
  • .myd
  • .ndd
  • .nef
  • .nk2
  • .nrw
  • .ns2
  • .ns3
  • .ns4
  • .nsd
  • .nsf
  • .nsg
  • .nsh
  • .nwb
  • .nx1
  • .nx2
  • .nyf
  • .obj
  • .odb
  • .odc
  • .odf
  • .odg
  • .odm
  • .odp
  • .ods
  • .odt
  • .oil
  • .one
  • .orf
  • .otg
  • .oth
  • .otp
  • .ots
  • .ott
  • .p12
  • .p7b
  • .p7c
  • .pages
  • .pas
  • .pat
  • .pbo
  • .pcd
  • .pct
  • .pdb
  • .pdd
  • .pdf
  • .pef
  • .pem
  • .pfx
  • .php
  • .pip
  • .pl
  • .plc
  • .pot
  • .potm
  • .potx
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .ppt
  • .pptm
  • .pptx
  • .prf
  • .ps
  • .psafe3
  • .psd
  • .pspimage
  • .ptx
  • .pub
  • .puz
  • .py
  • .qba
  • .qbb
  • .qbm
  • .qbw
  • .qbx
  • .r3d
  • .raf
  • .rar
  • .rat
  • .raw
  • .rdb
  • .rm
  • .rtf
  • .rwz
  • .sas7bdat
  • .say
  • .sd0
  • .sda
  • .sdf
  • .snp
  • .sparsebundle
  • .sql
  • .sr2
  • .srf
  • .srt
  • .srw
  • .st4
  • .st5
  • .st6
  • .st7
  • .st8
  • .stc
  • .std
  • .sti
  • .stw
  • .stx
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxg
  • .sxi
  • .sxm
  • .sxw
  • .tar
  • .tex
  • .tga
  • .tgz
  • .thm
  • .tib
  • .tlg
  • .txt
  • .vob
  • .vsd
  • .vsx
  • .vtx
  • .wav
  • .wb2
  • .wbk
  • .wdb
  • .wll
  • .wmv
  • .wpd
  • .wps
  • .x11
  • .x3f
  • .xla
  • .xlam
  • .xlb
  • .xlc
  • .xlk
  • .xll
  • .xlm
  • .xlr
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .xpp
  • .xsn
  • .yuv
  • .zip

A trójai titkosítja a /Users és almappáiban található fájlokat is.

A titkosított fájlok a “.encrypted” kiterjesztést kapják.

Elkerüli a következők titkosítását:

  • README_FOR_DECRYPT.txt
  • .kernel_complete
  • .kernel_time
  • .kernel_pid

A kártevő megkísérli a TimeMachine-ben tartott mentések titkosítását is.

Kapcsolódik az alábbi távoli kiszolgálóhoz, és futtatható állományokat tölt le.

  • lclebb6kvohlkcml.onion.link
  • lclebb6kvohlkcml.onion.nu
  • bmacyzmea723xyaz.onion.link
  • bmacyzmea723xyaz.onion.nu
  • nejdtkok7oz5kjoc.onion.link
  • nejdtkok7oz5kjoc.onion.nu

Végül tájékoztatja a felhasználót a titkosítás visszafejtéséhez szükséges teendőkről. 

Megoldás

Használjon offline biztonsági mentést.

Hivatkozások

Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »