en

‫ اولين باج‌افزار جدي سيستم‌عامل Mac OS

اولين باج‌افزار جدي سيستم‌عامل Mac OS

 

از اين پس كاربران سيستم‌عامل MAC نيز از تهديد باج‌افزارها در امان نيستند.
سرانجام پيش‌بيني‌ها به واقعيت پيوست و اولين باج‌افزار جدي و قدرتمند براي سيستم‌عامل Mac منتشر شد. پيش‌تر كاربران سيستم‌عامل ويندوز و لينوكس و همچنين كاربران تلفن‌هاي هوشمند با اين نوع تهديد آشنا شده و خسارت ديده‌اند. در سال 2014 ميلادي نيز شركت كسپرسكي باج‌افزار FileCoder را براي سيستم‌عامل Mac OS معرفي نموده بود كه به دليل توسعه نيافته بودن، چندان مطرح نشد.
متخصصان امنيتي شركت Palo Alto ، باج‌افزار جديد را KeRanger نام نهاده‌اند. اين باج‌افزار در صورت نصب برنامه كاربردي آلوده نصب شده و سه روز پس از نصب، شروع به رمز نمودن تمامي اسناد مهم، تصاوير و فايل‌هاي صوتي و تصويري، آرشيو نامه‌هاي الكترونيكي، كدهاي منبع با زبان‌هاي برنامه‌نويسي مختلف و ديتابيس‌ها مي‌نمايد (به‌طور دقيق‌تر، بيش از 300 نوع فايل را يافته و رمز مي‌كند). پس از اتمام فعاليت رمز نمودن داده‌ها، اين باج‌افزار كليد خود را از بين برده و فايل‌هاي رمز نشده را حذف نموده و با نشان دادن پيغامي از كاربر درخواست پرداخت حدود 400 دلار بر حسب بيت كوين مي‌نمايد. اين باج‌افزار براي پرداخت باج نيز مهلت 72 ساعته در اختيار فرد قرباني قرار مي‌دهد.
شيوه انتشار آلودگي هنوز كاملاً مشخص نيست ولي احتمالاً اين كار از طريق تسخير شدن يكي از وب‌سايت‌هاي رسمي كلاينت‌هاي متن باز BitTorrent با نام Transmission انجام گرفته است (نسخه 90/2). از آن‌جايي‌كه برنامه آلوده توسط گواهي معتبر شركت Apple امضاء شده است، درنتيجه تمهيدات امنيتي سيستم‌عامل Mac به راحتي دور زده مي‌شود.

 





تحليل بدافزار نشان مي‌دهد كه اين باج‌افزار هنوز در حال توسعه بوده و در طراحي آن قابليت‌هايي وجود دارد كه هنوز به‌طور كامل توسعه نيافته است (به عنوان مثال، ايجاد درب پشتي در سيستم، رمز نمودن داده‌هاي ذخيره شده در سرويس Apple’s Time Machine backup و ...). پس از تكميل قابليت اخير، قابليت بازيابي فايل‌هاي رمز شده از روي Time Machine نيز بي‌فايده خواهد شد.
شركت Apple پس از اطلاع يافتن از اين تهديد، گواهي صادر شده براي برنامه كاربردي فوق را لغو نموده است و درنتيجه كاربران اين سيستم‌عامل در صورت تلاش براي نصب برنامه‌كاربردي آلوده فوق، پيغامي مبتني بر عدم اعتبار برنامه .dmg مشاهده خواهند نمود. ضمناً گوگل نيز امضاهاي XProtect را به‌روزرساني نموده است. شركت Transmission نيز نسخه آلوده را از وب سايت خود حذف كرده است.




كليه كاربراني كه برنامه transmission را مابين ساعت 11 صبح 4 اسفند و ساعت 7 شب 5 اسفند (به وقت ژنو) دريافت نموده و نصب كرده‌اند، به اين باج‌افزار آلوده هستند. كاربراني كه احتمال آلودگي سيستم خود را مي‌دهند، مي‌توانند به روش زير از آلودگي يا عدم آلودگي رايانه خويش آگاه شوند:
•    استفاده از ترمينال يا قابليت Finder براي بررسي وجود يا عدم وجود مسيرهاي زير:
/Applications/Transmission.app/Contents/Resources/ General.rtf
يا:
Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
در صورت وجود هر يك از دو مسير فوق، رايانه آلوده بوده و بايستي در اسرع وقت سيستم‌عامل تعويض گردد.
•    استفاده از ابزار Activity Monitor و بررسي آن‌كه آيا پروسه‌اي با نام kernel_service در حال اجرا است يا خير. در صورت در حال اجرا بودن، بايستي Open Files and Ports را انتخاب نمود و بررسي نمود كه آيا /Users//Library/kernel_service وجود دارد يا خير. در صورت وجود، پروسه اصلي KeRanger بوده و بايستي توسط "Quit -> Force Quit" آن را متوقف نمود.
•    وجود فايل‌هاي ".kernel_pid"، ".kernel_time"، ".kernel_complete" يا "kernel_service" در مسير /Library directory نشانه آلودگي بوده و بايستي آن‌ها را حذف نمود.

 


The Wall

No comments
You need to sign in to comment