周日Palo Alto Networks的安詳研究人員發明白一款埋沒于Transmission安裝包中名為“KeRanger”的打單軟件。

KeRanger是第一款被發明針對OS系統的打單軟件，它一旦運行，便會對用戶設備舉辦加密，不只僅用戶正常利用，還對用戶發出付出1個比特幣（約莫2600人民幣）的打單要求。

據Palo Alto研究者先容，KeRanger傳染的兩個Transmission安裝包都有蘋果公司的正當簽名，開拓者證書ID是“POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)”，與Transmission之前版本安裝包的簽名有所差異。代碼簽名信息顯示，這些安裝包是3月4日上午生成的。

受傳染的安裝包在Transmission.app/Contents/Resources 目次之下帶有一個名為General.rtf的文件。它利用了一個看起來正常的RTF文件圖標，實際上卻是一個帶有UPX 3.91的Mach-O名目可執行文件。

Palo Alto兩位研究者Claud Xiao和Jin Chen在文章中稱：

“當用戶點擊這些受傳染的應用措施時，在任何用戶界面呈現之前可執行的Transmission.app/Content/MacOS/Transmission會將General.rtf文件復制到~/Library/kernel_service，并執行這一“kernel_service”。”

在General.rtf執行加密任務前，KeRanger會在~/Library目次之下建設三個文件，別離是“.kernel_pid”、”.kernel_time”和“.kernel_complete”，并在”.kernel_time”記下當前時間。然后，打單軟件會甜睡三天。值得留意的是，在KeRanger的另一樣本傍邊，研究者同樣發明白惡意軟件會休眠三天，可是它仍每五分鐘向C2處事器提出請求。

惡意軟件會選擇性加密系統上特定范例的文檔以及數據文件，在加密措施完成之后，KeRanger要求受害者付出1個比特幣到特定地點才氣贖回他們的文件。另外，KeRanger好像還在努力開拓進程中，而惡意軟件好像試圖加密Time Machine，防備受害者規復他們的備份數據。

Transmission是一種BitTorrent客戶端，特點是一個跨平臺的后端和其上的簡捷的用戶界面。

打單軟件是黑客用來挾制用戶資產或資源并以此為條件向用戶打單錢財的一種惡意軟件。打單軟件凡是會將用戶系統上文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件舉辦某種形式的加密操縱，使之不行用，可能通過修改系統設置文件、滋擾用戶正常利用系統的要領使系統的可用性低落，然后通過彈出窗口、對話框或生成文本文件等的方法向用戶發出打單通知，要求用戶向指定帳戶匯款來得到解密文件的暗碼可能得到規復系統正常運行的要領。

假如你從開源項目網站下載了Transmission 2.90版本，，你大概已經被傳染了。假如是軟件自身進級，應該就沒事。可是多次查抄一下照舊不會錯的。

按照Palo Alto研究者稱，可以通過下列事項舉辦檢測：

·尋找一個叫做“Applications/Transmission.app/Contents/Resources/General.rtf”可能“/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf”的文件。假如你發明其存在，直接刪除你的Transmission應用。

·利用Activity
Monitor查抄“kernel_service”歷程是否在運行。假如是，選擇應用措施中的“打開文件及端口”，搜索一個名字雷同“Users/<username>/Library/kernel_service”的文件，然后終止歷程。