КеРейнджер

KeRanger (также известный как OSX.KeRanger.A ) — это -вымогатель троян , нацеленный на компьютеры под управлением macOS . Обнаруженная 4 марта 2016 года компанией Palo Alto Networks , она затронула более 7000 пользователей Mac.

KeRanger удаленно запускается на компьютере жертвы из скомпрометированного установщика Transmission — популярного BitTorrent- клиента, скачанного с официального сайта. Он скрыт в файле .dmg в папке General.rtf. На самом деле .rtf представляет собой исполняемый файл формата Mach-O, упакованный с помощью UPX 3.91. Когда пользователи нажимают на эти зараженные приложения, их исполняемый файл пакета Transmission.app/Content/MacOS/Transmission копирует этот файл General.rtf в ~/Library/kernel_service и запускает этот «kernel_service» до появления любого пользовательского интерфейса. ^[1] Он шифрует файлы с помощью RSA и криптографии с открытым ключом RSA , при этом ключ для дешифрования хранится только на серверах злоумышленника. Затем вредоносная программа создает файл с именем «readme_to_decrypt.txt» в каждой папке. Когда инструкции открываются, он дает жертве указания, как расшифровать файлы, обычно требуя оплаты одного биткойна . Программа-вымогатель считается разновидностью программы-вымогателя Linux Linux.Encoder.1 . ^[2]

Открытие

4 марта 2016 г. компания Palo Alto Networks добавила Ransomeware.KeRanger.OSX в свою вирусную базу данных. Через два дня они опубликовали описание и разбивку кода.

Распространение

По данным Исследовательского центра Пало-Альто , KeRanger чаще всего заражался в Transmission со взломанного официального сайта, затем зараженный .dmg загружался , чтобы он выглядел как «настоящий» Transmission . После сообщения об этом создатели Transmission разместили на веб-сайте новую загрузку и выпустили обновление программного обеспечения.

Единственный способ заражения вредоносным ПО компьютера жертвы — использование действительной подписи разработчика, выданной Apple, что позволяло обойти встроенную систему безопасности Apple.

Процесс шифрования

Файл «README_FOR_DECRYPTION.txt» размещен во всех папках.

При первом запуске KeRanger создаст три файла «.kernel_pid», «.kernel_time» и «.kernel_complete» в каталоге ~/Library и запишет текущее время в «.kernel_time». Затем он будет спать три дня. ^[1] После этого он соберет информацию о Mac, включая название модели и UUID . После сбора информации он загружает ее на один из своих серверов управления и контроля . Все домены этих серверов являются поддоменами onion[.]link или onion[.]nu — двух доменов, на которых размещаются серверы, доступные только через сеть Tor . После подключения к серверам управления и контроля он возвращает данные в виде файла «README_FOR_DECRYPT.txt». Затем он сообщает пользователю, что его файлы зашифрованы и т. д., и что ему необходимо заплатить сумму в один биткойн , которая раньше составляла примерно 400 долларов США в долларах США .

KeRanger шифрует каждый файл (например, Test.docx), сначала создавая зашифрованную версию с расширением .encrypted (т. е. Test.docx.encrypted). Чтобы зашифровать каждый файл, KeRanger начинает с генерации случайного числа (RN) и шифрует RN. с ключом RSA, полученным с сервера C2 с использованием алгоритма RSA. Затем он сохраняет зашифрованный RN в начале результирующего файла. Затем он сгенерирует вектор инициализации (IV), используя содержимое исходного файла, и сохранит IV внутри результирующего файла. После этого он смешает RN и IV для генерации ключа шифрования AES. Наконец, он будет использовать этот ключ AES для шифрования содержимого исходного файла и записи всех зашифрованных данных в файл результата.

Зашифрованные файлы

После подключения к серверу C2 он получит ключ шифрования, а затем запустит процесс. Сначала он зашифрует папку «/Users», затем «/Volumes». Также зашифровано 300 расширений файлов, например:

Файлы: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .te
Изображения: .jpg, .jpeg.
Аудио и видео: .mp3, .mp4, .avi, .mpg, .wav, .flac.
Архивы: .zip, .rar., .tar, .gzip.
Исходный код: .cpp, .asp, .csh, .class, .java, .lua.
База данных: .db, .sql.
Электронная почта: .eml
Сертификат: .pem

Ссылки

^ Jump up to: ^а ^б Сяо, Клод; Чен, Джин (6 марта 2016 г.). «Новая программа-вымогатель для OS X, зараженная KeRanger, установщик BitTorrent-клиента — блог Palo Alto Networks» . Блог Palo Alto Networks . Проверено 10 марта 2016 г.
^ «KeRanger на самом деле является переписанной версией Linux.Encoder» . Лаборатория Bitdefender . Проверено 28 марта 2016 г.

[:0-1] Jump up to: ^а ^б Сяо, Клод; Чен, Джин (6 марта 2016 г.). «Новая программа-вымогатель для OS X, зараженная KeRanger, установщик BitTorrent-клиента — блог Palo Alto Networks» . Блог Palo Alto Networks . Проверено 10 марта 2016 г.

[ref1-2] «KeRanger на самом деле является переписанной версией Linux.Encoder» . Лаборатория Bitdefender . Проверено 28 марта 2016 г.

[1]

[2]