Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Mac.Trojan.KeRanger.2

Добавлен в вирусную базу Dr.Web: 2016-03-09

Описание добавлено:

SHA1:

  • fd1f246ee9effafba0811fd692e2e76947e82687 (upx)
  • 689cf98c54357d90527a38d922412c04a7107a89 (unpacked)

Троянец-шифровальщик для OS X, впервые был обнаружен в инфицированном обновлении популярного торрент-клиента для OS X, распространявшегося в виде дистрибутива в формате DMG. Программа была подписана действующим сертификатом разработчика приложений для OS X, благодаря чему могла обойти встроенную систему защиты ОС от Apple. Может работать как с привилегиями Root, так и с правами обычного пользователя. После запуска удаляет собственный исходный файл. Создает три файла:

  • ~/Library/.kernel_pid – в нем хранится PID процесса троянца;
  • ~/Library/.kernel_time - в нем хранится информация о времени первого запуска троянца (шифрование начинается через три дня после этого);
  • ~/Library/.kernel_complete – содержит строку "do not touch this\n", создается после успешного шифрования файлов.

По истечении трех дней с момента первого запуска энкодер устанавливает соединение одним из трех управляющих серверов с использованием сети TOR. На управляющий сервер передается запрос вида:

Lcl******ohlkcml.onion/osx/ping?user_id=general&uuid=hwid&model=hw_model

Где:

  • hw_model – данные о модели зараженного устройства;
  • hwid – это значение получается путем создания SHA256-хэша от значений IOPlatformUUID и IOPlatformSerialNumber.

В ответ сервер передает троянцу две строки, зашифрованные base64, которые содержат публичный RSA-ключ и файл с требованиями злоумышленников.

Шифрование осуществляется алгоритмом AES-CBC-256.

В первую очередь энкодер шифрует все содержимое папки "/Users", кроме собственных файлов: ".encrypted", "README_FOR_DECRYPT.txt", ".kernel_pid", ".kernel_time", ".kernel_complete".

В папке "/Volumes" файлы шифруются по имеющемуся в теле троянца списку — всего злоумышленники предусмотрели в этом списке 313 различных типов файлов.

После шифрования файла энкодер устанавливает для него дату создания и модификации такие же, какие у него были до шифрования, кроме того, восстанавливает прежние права доступа.

Характерным признаком работы этого энкодера является добавление к зашифрованным файлам расширения ".encrypted" и появление в папках файла с именем "README_FOR_DECRYPT.txt".

В настоящее время специалисты компании «Доктор Веб» разработали технологию, позволяющую расшифровать данные, зашифрованные этой вредоносной программой.

Новость о троянце

Рекомендации по лечению


macOS

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру