一個被研究人員命名為KeRanger的全功能勒索軟件，上周五出現(xiàn)在蘋果的BitTorrent客戶端軟件Transmission中。

2016年3月4號11點（太平洋標(biāo)準(zhǔn)時間）到5號19點之間，從官方網(wǎng)站下載Transmission安裝包的用戶都有可能被KeRanger感染。從第三方網(wǎng)站下載或是其他時間段下載的用戶，也建議進(jìn)行安全檢測——Palo Alto 威脅情報小組

目前尚未得知攻擊是如何發(fā)生的，但由于Transmission的安裝文件含有有效的代碼簽名證書，因此可以繞過蘋果安全軟件Gatekeeper的保護(hù)。進(jìn)入用戶系統(tǒng)之后，KeRanger將會在系統(tǒng)中潛伏三天，直到通過匿名代理Tor聯(lián)系到命令控制服務(wù)器(C2)。C2使用類似以下的中繼鏈接：

lclebb6kvohlkcml.onion[.]link

lclebb6kvohlkcml.onion[.]nu

bmacyzmea723xyaz.onion[.]link

bmacyzmea723xyaz.onion[.]nu

nejdtkok7oz5kjoc.onion[.]link

nejdtkok7oz5kjoc.onion[.]nu

一旦與C2建立聯(lián)系，勒索軟件就開始加密各種通用類型的文件，包括文檔、圖片、音頻和視頻等。研究人員還發(fā)現(xiàn)，該惡意軟件不會加密“時間機(jī)器”的備份，雖然它的代碼里包括這個功能，但在當(dāng)前版本中卻還沒有激活這個功能。

該惡意軟件在加密用戶文件之前需要先聯(lián)系到C2，這似乎是個設(shè)計上的漏洞。也就是說，如果被感染的系統(tǒng)沒有與互聯(lián)網(wǎng)連接，這個勒索軟件就無法開始加密過程。但完成加密之后，該惡意軟件會索要400美元的贖金。

蘋果目前已經(jīng)把安裝器添加到Gatekeeper的黑名單中，同時廢除了安裝器中使用的有效代碼簽名證書，并更新了XProtect的簽名，包括整個贖金軟件家族的特征碼。

TRansmission是一個開源軟件，目前已經(jīng)更新到2.92版，可以檢測并移除KeRanger，建議用戶下載更新，否則便面臨周一上午11點，文件被加密的風(fēng)險。

目前還發(fā)現(xiàn)一些網(wǎng)絡(luò)犯罪分子正在在某地下論壇售賣盜來的蘋果軟件的代碼簽名證書，其價值可達(dá)1萬美元。