اولین باج‌افزار جدی سیستم‌عامل Mac OS

۱کمیته رکن چهارم – از این پس کاربران سیستم‌عامل MAC نیز از تهدید باج‌افزارها در امان نیستند.
سرانجام پیش‌بینی‌ها به واقعیت پیوست و اولین باج‌افزار جدی و قدرتمند برای سیستم‌عامل Mac منتشر شد. پیش‌تر کاربران سیستم‌عامل ویندوز و لینوکس و همچنین کاربران تلفن‌های هوشمند با این نوع تهدید آشنا شده و خسارت دیده‌اند.

کمیته رکن چهارم،در سال ۲۰۱۴ میلادی نیز شرکت کسپرسکی باج‌افزار FileCoder را برای سیستم‌عامل Mac OS معرفی نموده بود که به دلیل توسعه نیافته بودن، چندان مطرح نشد.
متخصصان امنیتی شرکت Palo Alto ، باج‌افزار جدید را KeRanger نام نهاده‌اند. این باج‌افزار در صورت نصب برنامه کاربردی آلوده نصب شده و سه روز پس از نصب، شروع به رمز نمودن تمامی اسناد مهم، تصاویر و فایل‌های صوتی و تصویری، آرشیو نامه‌های الکترونیکی، کدهای منبع با زبان‌های برنامه‌نویسی مختلف و دیتابیس‌ها می‌نماید (به‌طور دقیق‌تر، بیش از ۳۰۰ نوع فایل را یافته و رمز می‌کند). پس از اتمام فعالیت رمز نمودن داده‌ها، این باج‌افزار کلید خود را از بین برده و فایل‌های رمز نشده را حذف نموده و با نشان دادن پیغامی از کاربر درخواست پرداخت حدود ۴۰۰ دلار بر حسب بیت کوین می‌نماید. این باج‌افزار برای پرداخت باج نیز مهلت ۷۲ ساعته در اختیار فرد قربانی قرار می‌دهد.
شیوه انتشار آلودگی هنوز کاملاً مشخص نیست ولی احتمالاً این کار از طریق تسخیر شدن یکی از وب‌سایت‌های رسمی کلاینت‌های متن باز BitTorrent با نام Transmission انجام گرفته است (نسخه ۹۰/۲). از آن‌جایی‌که برنامه آلوده توسط گواهی معتبر شرکت Apple امضاء شده است، درنتیجه تمهیدات امنیتی سیستم‌عامل Mac به راحتی دور زده می‌شود.

تحلیل بدافزار نشان می‌دهد که این باج‌افزار هنوز در حال توسعه بوده و در طراحی آن قابلیت‌هایی وجود دارد که هنوز به‌طور کامل توسعه نیافته است (به عنوان مثال، ایجاد درب پشتی در سیستم، رمز نمودن داده‌های ذخیره شده در سرویس Apple’s Time Machine backup و …). پس از تکمیل قابلیت اخیر، قابلیت بازیابی فایل‌های رمز شده از روی Time Machine نیز بی‌فایده خواهد شد.
شرکت Apple پس از اطلاع یافتن از این تهدید، گواهی صادر شده برای برنامه کاربردی فوق را لغو نموده است و درنتیجه کاربران این سیستم‌عامل در صورت تلاش برای نصب برنامه‌کاربردی آلوده فوق، پیغامی مبتنی بر عدم اعتبار برنامه .dmg مشاهده خواهند نمود. ضمناً گوگل نیز امضاهای XProtect را به‌روزرسانی نموده است. شرکت Transmission نیز نسخه آلوده را از وب سایت خود حذف کرده است.

کلیه کاربرانی که برنامه transmission را مابین ساعت ۱۱ صبح ۴ اسفند و ساعت ۷ شب ۵ اسفند (به وقت ژنو) دریافت نموده و نصب کرده‌اند، به این باج‌افزار آلوده هستند. کاربرانی که احتمال آلودگی سیستم خود را می‌دهند، می‌توانند به روش زیر از آلودگی یا عدم آلودگی رایانه خویش آگاه شوند:
•    استفاده از ترمینال یا قابلیت Finder برای بررسی وجود یا عدم وجود مسیرهای زیر:
/Applications/Transmission.app/Contents/Resources/ General.rtf
یا:
Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
در صورت وجود هر یک از دو مسیر فوق، رایانه آلوده بوده و بایستی در اسرع وقت سیستم‌عامل تعویض گردد.
•    استفاده از ابزار Activity Monitor و بررسی آن‌که آیا پروسه‌ای با نام kernel_service در حال اجرا است یا خیر. در صورت در حال اجرا بودن، بایستی Open Files and Ports را انتخاب نمود و بررسی نمود که آیا /Users//Library/kernel_service وجود دارد یا خیر. در صورت وجود، پروسه اصلی KeRanger بوده و بایستی توسط “Quit -> Force Quit” آن را متوقف نمود.
•    وجود فایل‌های “.kernel_pid”، “.kernel_time”، “.kernel_complete” یا “kernel_service” در مسیر /Library directory نشانه آلودگی بوده و بایستی آن‌ها را حذف نمود.

منبع:مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.