OSX.Keranger

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

MAC OSX

Összefoglaló

Az OSX.Keranger nevű, MAC OS X operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

A kártevő az első teljes értékű MAC OS X-re íródott ransomware típusú káros kód, melyet nemrégiben sikeresen terjesztettek az operációs rendszert használók körében, a népszerű transmission hivatalos weboldaláról a program 2.90-es verziójával. A kártevő a telepítést követően csak 3 nappal kezdi meg működését. A támadás menete megegyezik a más rendszerekben megismert eljárásokhoz. 

A kártékony kód aktiválódás után, létrehozza az alábbi állományokat:

• ~/Library/kernel_service
• ~/Library/.kernel_complete

Titkosítja az alábbi kiterjesztésű állományokat a /Volumes és almappáiban:

• 3dm
• .3ds
• .3g2
• .3gp
• .7z
• .ab4
• .accdb
• .accde
• .accdr
• .accdt
• .ach
• .acr
• .act
• .adb
• .ads
• .ai
• .ait
• .al
• .apj
• .arw
• .asf
• .asm
• .asp
• .asx
• .avi
• .back
• .backup
• .bak
• .bank
• .bay
• .bdb
• .bgt
• .bik
• .bkf
• .bkp
• .blend
• .bpw
• .c
• .cdb
• .cdf
• .cdr
• .cdx
• .ce1
• .ce2
• .cer
• .cfp
• .cgm
• .class
• .cls
• .cmt
• .cnv
• .cpi
• .cpp
• .cr2
• .craw
• .crt
• .crw
• .cs
• .csh
• .csl
• .csv
• .dac
• .db
• .db3
• .dbf
• .dbr
• .dbs
• .dc2
• .dcr
• .dcs
• .dcx
• .ddd
• .ddoc
• .dds
• .der
• .des
• .design
• .dgc
• .djvu
• .dng
• .doc
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .drf
• .drw
• .dtd
• .dwg
• .dxb
• .dxf
• .dxg
• .ebd
• .edb
• .eml
• .eps
• .erf
• .exf
• .fdb
• .ffd
• .fff
• .fh
• .fhd
• .fla
• .flac
• .flv
• .fm
• .fp7
• .fpx
• .fxg
• .gdb
• .gray
• .grey
• .grw
• .gry
• .gzip
• .h
• .hbk
• .hpp
• .ibd
• .idx
• .iif
• .indd
• .java
• .jpe
• .jpeg
• .jpg
• .kdbx
• .kdc
• .key
• .laccdb
• .lua
• .m
• .m4v
• .maf
• .mam
• .maq
• .mar
• .maw
• .max
• .mdb
• .mdc
• .mde
• .mdf
• .mdt
• .mef
• .mfw
• .mmw
• .mos
• .mov
• .mp3
• .mp4
• .mpg
• .mpp
• .mrw
• .mso
• .myd
• .ndd
• .nef
• .nk2
• .nrw
• .ns2
• .ns3
• .ns4
• .nsd
• .nsf
• .nsg
• .nsh
• .nwb
• .nx1
• .nx2
• .nyf
• .obj
• .odb
• .odc
• .odf
• .odg
• .odm
• .odp
• .ods
• .odt
• .oil
• .one
• .orf
• .otg
• .oth
• .otp
• .ots
• .ott
• .p12
• .p7b
• .p7c
• .pages
• .pas
• .pat
• .pbo
• .pcd
• .pct
• .pdb
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .php
• .pip
• .pl
• .plc
• .pot
• .potm
• .potx
• .ppam
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .prf
• .ps
• .psafe3
• .psd
• .pspimage
• .ptx
• .pub
• .puz
• .py
• .qba
• .qbb
• .qbm
• .qbw
• .qbx
• .r3d
• .raf
• .rar
• .rat
• .raw
• .rdb
• .rm
• .rtf
• .rwz
• .sas7bdat
• .say
• .sd0
• .sda
• .sdf
• .snp
• .sparsebundle
• .sql
• .sr2
• .srf
• .srt
• .srw
• .st4
• .st5
• .st6
• .st7
• .st8
• .stc
• .std
• .sti
• .stw
• .stx
• .svg
• .swf
• .sxc
• .sxd
• .sxg
• .sxi
• .sxm
• .sxw
• .tar
• .tex
• .tga
• .tgz
• .thm
• .tib
• .tlg
• .txt
• .vob
• .vsd
• .vsx
• .vtx
• .wav
• .wb2
• .wbk
• .wdb
• .wll
• .wmv
• .wpd
• .wps
• .x11
• .x3f
• .xla
• .xlam
• .xlb
• .xlc
• .xlk
• .xll
• .xlm
• .xlr
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xpp
• .xsn
• .yuv
• .zip

A trójai titkosítja a /Users és almappáiban található fájlokat is.

A titkosított fájlok a “.encrypted” kiterjesztést kapják.

Elkerüli a következők titkosítását:

• README_FOR_DECRYPT.txt
• .kernel_complete
• .kernel_time
• .kernel_pid

A kártevő megkísérli a TimeMachine-ben tartott mentések titkosítását is.

Kapcsolódik az alábbi távoli kiszolgálóhoz, és futtatható állományokat tölt le.

• lclebb6kvohlkcml.onion.link
• lclebb6kvohlkcml.onion.nu
• bmacyzmea723xyaz.onion.link
• bmacyzmea723xyaz.onion.nu
• nejdtkok7oz5kjoc.onion.link
• nejdtkok7oz5kjoc.onion.nu

Végül tájékoztatja a felhasználót a titkosítás visszafejtéséhez szükséges teendőkről. 

Megoldás

Használjon offline biztonsági mentést.

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: www.symantec.com