周日Palo Alto Networks的安詳研究人員發(fā)明白一款埋沒于Transmission安裝包中名為“KeRanger”的打單軟件。

KeRanger是第一款被發(fā)明針對OS系統(tǒng)的打單軟件，它一旦運(yùn)行，便會對用戶設(shè)備舉辦加密，不只僅用戶正常利用，還對用戶發(fā)出付出1個比特幣（約莫2600人民幣）的打單要求。

據(jù)Palo Alto研究者先容，KeRanger傳染的兩個Transmission安裝包都有蘋果公司的正當(dāng)簽名，開拓者證書ID是“POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)”，與Transmission之前版本安裝包的簽名有所差異。代碼簽名信息顯示，這些安裝包是3月4日上午生成的。

受傳染的安裝包在Transmission.app/Contents/Resources 目次之下帶有一個名為General.rtf的文件。它利用了一個看起來正常的RTF文件圖標(biāo)，實(shí)際上卻是一個帶有UPX 3.91的Mach-O名目可執(zhí)行文件。

Palo Alto兩位研究者Claud Xiao和Jin Chen在文章中稱：

“當(dāng)用戶點(diǎn)擊這些受傳染的應(yīng)用措施時，在任何用戶界面呈現(xiàn)之前可執(zhí)行的Transmission.app/Content/MacOS/Transmission會將General.rtf文件復(fù)制到~/Library/kernel_service，并執(zhí)行這一“kernel_service”。”

在General.rtf執(zhí)行加密任務(wù)前，KeRanger會在~/Library目次之下建設(shè)三個文件，別離是“.kernel_pid”、”.kernel_time”和“.kernel_complete”，并在”.kernel_time”記下當(dāng)前時間。然后，打單軟件會甜睡三天。值得留意的是，在KeRanger的另一樣本傍邊，研究者同樣發(fā)明白惡意軟件會休眠三天，可是它仍每五分鐘向C2處事器提出請求。

惡意軟件會選擇性加密系統(tǒng)上特定范例的文檔以及數(shù)據(jù)文件，在加密措施完成之后，KeRanger要求受害者付出1個比特幣到特定地點(diǎn)才氣贖回他們的文件。另外，KeRanger好像還在努力開拓進(jìn)程中，而惡意軟件好像試圖加密Time Machine，防備受害者規(guī)復(fù)他們的備份數(shù)據(jù)。

Transmission是一種BitTorrent客戶端，特點(diǎn)是一個跨平臺的后端和其上的簡捷的用戶界面。

打單軟件是黑客用來挾制用戶資產(chǎn)或資源并以此為條件向用戶打單錢財(cái)?shù)囊环N惡意軟件。打單軟件凡是會將用戶系統(tǒng)上文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件舉辦某種形式的加密操縱，使之不行用，可能通過修改系統(tǒng)設(shè)置文件、滋擾用戶正常利用系統(tǒng)的要領(lǐng)使系統(tǒng)的可用性低落，然后通過彈出窗口、對話框或生成文本文件等的方法向用戶發(fā)出打單通知，要求用戶向指定帳戶匯款來得到解密文件的暗碼可能得到規(guī)復(fù)系統(tǒng)正常運(yùn)行的要領(lǐng)。

假如你從開源項(xiàng)目網(wǎng)站下載了Transmission 2.90版本，，你大概已經(jīng)被傳染了。假如是軟件自身進(jìn)級，應(yīng)該就沒事。可是多次查抄一下照舊不會錯的。

按照Palo Alto研究者稱，可以通過下列事項(xiàng)舉辦檢測：

·尋找一個叫做“Applications/Transmission.app/Contents/Resources/General.rtf”可能“/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf”的文件。假如你發(fā)明其存在，直接刪除你的Transmission應(yīng)用。

·利用Activity
Monitor查抄“kernel_service”歷程是否在運(yùn)行。假如是，選擇應(yīng)用措施中的“打開文件及端口”，搜索一個名字雷同“Users/<username>/Library/kernel_service”的文件，然后終止歷程。