WikiDer > KeRanger - Vikipediya

KeRanger - Wikipedia

KeRanger (shuningdek, nomi bilan tanilgan OSX.KeRanger.A) a to'lov dasturlari troyan oti ishlaydigan kompyuterlarni yo'naltirish macOS. 2016 yil 4 martda kashf etilgan Palo Alto tarmoqlari, bu 7000 dan ortiq Mac foydalanuvchilariga ta'sir ko'rsatdi.

KeRanger qurbonning kompyuterida buzilgan o'rnatish vositasidan masofadan turib bajariladi Yuqish, mashhur BitTorrent mijoz rasmiy veb-saytidan yuklab olingan. Bu ichida yashiringan .dmg General.rtf ostida fayl. .Rtf aslida Mach-O formatidagi bajariladigan fayl bo'lib, UPX 3.91 bilan to'ldirilgan. Foydalanuvchilar ushbu yuqtirilgan dasturlarni bosganlarida, ularning bajariladigan Transmission.app/Content/MacOS/Transmission to'plami ushbu General.rtf faylini ~ / Library / kernel_service-ga ko'chiradi va har qanday foydalanuvchi interfeysi paydo bo'lishidan oldin ushbu "kernel_service" ni bajaradi.^[1] U fayllarni shifrlaydi RSA va RSA ochiq kalit kriptografiyasi, kodni ochish uchun kalit faqat tajovuzkorning serverlarida saqlanadi. Keyin zararli dastur har bir papkada "readme_to_decrypt.txt" nomli faylni yaratadi. Ko'rsatmalar ochilganda, jabrlanuvchiga fayllarni parolini ochish bo'yicha ko'rsatmalar beradi, odatda bittasini to'lashni talab qiladi bitkoin. Ransomware Linux to'lov dasturining bir varianti hisoblanadi Linux.Encoder.1.^[2]

Transmissiya foydalanuvchilariga berilgan ogohlantirish.

Kashfiyot

2016 yil 4 martda, Palo Alto tarmoqlari virus bazasiga Ransomeware.KeRanger.OSX qo'shildi. Ikki kundan keyin ular tavsifni va kodning buzilishini e'lon qildilar.

Ko'paytirish

Ga binoan Palo Alto tadqiqot markazi, KeRanger eng ko'p yuqtirilgan Yuqish buzilgan rasmiy veb-saytidan, keyin yuqtirgan .dmg "haqiqiy" ga o'xshash ko'rinishi uchun yuklangan Yuqish. Xabar berilgandan so'ng, ishlab chiqaruvchilar Yuqish veb-saytida yangi yuklab olish va dasturiy ta'minotni yangilashni boshladi.

Zararli dastur qurbonning kompyuterini yuqtirishning yagona usuli bu Apple tomonidan ishlab chiqilgan imzolangan imzo yordamida Apple tomonidan o'rnatilgan xavfsizlikni chetlab o'tishga imkon berishdir.

Shifrlash jarayoni

"README_FOR_DECRYPTION.txt" fayli barcha papkalarga joylashtirilgan.

Birinchi marta amalga oshirilganda, KeRanger ~ / Library katalogi ostida uchta ".kernel_pid", ".kernel_time" va ".kernel_complete" fayllarini yaratadi va joriy vaqtni ".kernel_time" ga yozadi. Keyin u uch kun uxlaydi.^[1] Shundan so'ng, u Mac nomi haqida ma'lumot to'playdi, unga model nomi va UUID. Ma'lumot yig'ilgandan so'ng, uni biriga yuklaydi Buyruq va boshqaruv serverlar. Ushbu serverlarning domenlari piyoz [.] Link yoki piyoz [.] Nu sub-domenlari bo'lib, faqat ikkita server domenida joylashgan serverlarni joylashtiradigan domenlardir. Tor tarmog'i. U bilan bog'langanidan keyin Buyruq va boshqaruv serverlar, ma'lumotlarni "README_FOR_DECRYPT.txt" fayli bilan qaytaradi. So'ngra foydalanuvchiga ularning fayllari shifrlanganligi va hokazolarni va ulardan bittasini to'lash kerakligini aytadi bitkoin, bu taxminan 400 dollar AQSh dollari.

KeRanger har bir faylni shifrlaydi (masalan, Test.docx) .shifrlangan kengaytmani (ya'ni Test.docx.encrypted.) Ishlatadigan shifrlangan versiyasini yaratib, har bir faylni shifrlash uchun KeRanger tasodifiy raqam (RN) hosil qilish bilan boshlanadi va RNni shifrlaydi. RSA algoritmi yordamida C2-serverdan olingan RSA kaliti bilan. Keyinchalik, natijada olingan faylning boshida shifrlangan RN-ni saqlaydi. Keyinchalik, u asl fayl tarkibidan foydalanib, Boshlash Vektorini (IV) yaratadi va IV ni olingan fayl ichida saqlaydi. Shundan so'ng, u RES va IV ni aralashtirib AES shifrlash kalitini hosil qiladi. Va nihoyat, u asl fayl tarkibini shifrlash va natijada olingan barcha fayllarni yozish uchun ushbu AES tugmachasidan foydalanadi.

Shifrlangan fayllar

C2-serverga ulangandan so'ng, u shifrlash kalitini oladi, so'ngra jarayonni boshlaydi. Dastlab u "/ Users" papkasini shifrlaydi, so'ngra "/ Volumes" Shifrlangan 300 ta fayl kengaytmasi mavjud, masalan:

Hujjatlar: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .te
Rasmlar: .jpg, .jpeg
Audio va video: .mp3, .mp4, .avi, .mpg, .wav, .flac
Arxivlar: .zip, .rar., .Tar, .gzip
Manba kodi: .cpp, .asp, .csh, .class, .java, .lua
Ma'lumotlar bazasi: .db, .sql
Elektron pochta: .eml
Sertifikat: .pem

Adabiyotlar

^ ^a ^b Syao, Klod; Chen, Jin. "Yangi OS X Ransomware KeRanger yuqtirgan transmissiya BitTorrent Client Installer - Palo Alto Networks Blog". Palo Alto tarmoqlari blogi. Olingan 2016-03-10.
^ "KeRanger aslida Linux.Encoder-ning qayta yozilishi". Bitdefender laboratoriyalari. Olingan 28 mart 2016.

[:0-1] Syao, Klod; Chen, Jin. "Yangi OS X Ransomware KeRanger yuqtirgan transmissiya BitTorrent Client Installer - Palo Alto Networks Blog". Palo Alto tarmoqlari blogi. Olingan 2016-03-10.

[ref1-2] "KeRanger aslida Linux.Encoder-ning qayta yozilishi". Bitdefender laboratoriyalari. Olingan 28 mart 2016.

[1]

[2]

Navigation