KeRanger：使用被感染的BitTorrent安裝程序傳播勒索軟件，對Mac OS X電腦中的文件進行惡意加密

近日，行業(yè)中發(fā)現首個目標攻擊Mac OS X操作系統(tǒng)的惡意軟件KeRanger。KeRanger （OSX.Keranger）通過已經遭受感染的Transmission BitTorrent客戶端的安裝程序快速進行傳播。在 2016年3月4日和5日下載Transmission的Mac OS X用戶有可能面臨該惡意軟件的威脅。

雖然KeRanger是針對Mac OS X操作系統(tǒng)而設計，但其表現行為與基于Windows操作系統(tǒng)的勒索軟件極為相似，尤其是TeslaCrypt （Trojan.Cryptolocker.N）。用戶一旦安裝該惡意軟件，KeRanger將會搜索大約300個不同的文件類型，并對其發(fā)現的任何文件進行加密。隨后，惡意軟件將會彈出要求受害者支付1比特幣贖金的勒索信息（大約為408美元）。受害者需要通過匿名Tor網絡的網站完成贖金支付。

KeRanger使用有效的Mac開發(fā)者ID進行簽名，這意味著惡意軟件能夠繞開OS X用于鎖住不可信來源軟件的Gatekeeper功能。現在，蘋果公司已經撤銷了KeRanger的開發(fā)者 ID。

背景資料

隨著蘋果設備受歡迎程度的增加，針對Mac OS X操作系統(tǒng)的惡意軟件的出現只是時間問題。之前就曾經出現過惡意網站攻擊Mac OS X用戶所使用的Safari瀏覽器的案例。在該案例中，使用JavaScript的網站會導致Safari瀏覽器不斷彈出窗口，告知用戶由于查看非法內容，瀏覽器已經被 FBI“鎖定”。但是，到目前為止還未出現專門針對Mac OS X操作系統(tǒng)的惡意軟件。

2015 年 11 月，由巴西網絡安全研究人員 Rafael Salema Marques 研發(fā)的名為 Mabouia （OSX.Ransomcrypt）的概念驗證 （PoC） 威脅揭示了一個事實：Mac設備可能無法對勒索軟件威脅進行免疫。Marques與賽門鐵克公司和蘋果公司分享了該惡意軟件的樣本。賽門鐵克公司的安全研究人員分析并確認PoC能夠發(fā)揮作用。如果落入犯罪分子手中，該威脅可以創(chuàng)建正常運作的Mac OS X 加密勒索軟件。但Marques表示，他并無公開發(fā)布此惡意軟件的意圖。

潛在威脅

雖然KeRanger僅通過遭受感染的軟件進行了快速的傳播，但Mac用戶不能放松警惕，攻擊者可能會試圖尋找其他的傳播渠道。除此之外，這些成功的惡意攻擊可能會刺激其他不法組織創(chuàng)建 Mac OS X勒索軟件的變體。

賽門鐵克提示如何防御勒索軟件

· 定期備份電腦中的文件。如果用戶的電腦確實被勒索軟件感染，在移除惡意軟件后，文件便可恢復。

· 更新使用最新版本的安全軟件，避免遭受新型惡意軟件的攻擊。

· 升級操作系統(tǒng)和其他軟件。軟件更新一般包含修復最新發(fā)現的安全漏洞補丁。

· 刪除收到的所有可疑郵件，尤其是包含鏈接或附件的郵件。

賽門鐵克保護

賽門鐵克和諾頓產品通過下列監(jiān)測防御 KeRanger：

· AV - OSX.Keranger

· 入侵防御系統(tǒng) （IPS） - 系統(tǒng)感染：Trojan.KeRanger活動·

如需了解更多有關威脅Mac OS X及其他Apple平臺的安全信息，請下載閱讀白皮書：Apple威脅概況。