พบ Ransomware บน OS X ตัวใหม่ ติดมากับ Transmission BitTorrent Client เตือนผู้ใช้งานตรวจสอบโดยด่วน

 

keranger-ransomware-on-transmission

ทีมวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้ตรวจพบ Ransomware บน OS X ตัวแรก ซึ่งติดมากับแอพพลิเคชัน BitTorrent Client ชื่อดังอย่าง Transmission เวอร์ชันใหม่ เตือนผู้ใช้งานที่ติดตั้งไปแล้ว รีบทำการตรวจสอบโดยด่วน

Ransomware ตัวนี้มีชื่อว่า “KeRanger” เป็น Ransomware ตัวแรกที่ทำงานอย่างสมบูรณ์บนแพลตฟอร์ม OS X โดยแฮ็กเกอร์ได้ทำการฝังโค้ด Ransomware ไว้บนตัวติดตั้งของ Transmission เวอร์ชัน 2.90 บนเว็บไซต์ของ Transmission Project ซึ่งเป็นการอัพเดทครั้งใหญ่ในรอบสองปี โดย KeRanger ถูก Signed ด้วย Mac Application Development Certificate ที่ถูกต้อง ทำให้สามารถ bypass ตัว Gatekeeper Protection ของ Apple ได้ หากผู้ใช้งานติดตั้งแอพพลิเคชันลงไป จะมีการรันไฟล์บางอย่างบนระบบทันที โดยจะรอเป็นระยะเวลา 3 วันก่อนที่ติดต่อไปยัง Command and control (C2) Server ที่อยู่บน Tor Network หลังจากนั้น KeRanger จะทำการเข้ารหัสไฟล์ทั้งหมดบนบนเครื่องของเหยื่อ ที่อยู่ใน Directory อย่าง “/Users” และ “/Volumes” และจะทำการเรียกค่าไถ่เป็นจำนวนเงินถึง $400 ด้วยการจ่ายผ่าน Bitcoin เพื่อแลกกับการถอดรหัสไฟล์ นอกจากนี้ ยังตรวจพบอีกว่า KeRanger พยายามทำการเข้ารหัสไฟล์ backup ของ Time Machine เพื่อป้องกันเหยื่อที่พยายามดึงไฟล์กลับมาจาก backup อีกด้วย

ทาง Palo Alto Networks ได้ทำการรายงานถึงอันตรายร้ายแรงนี้ไปยัง Transmission Project และ Apple แล้ว โดย Apple ได้ทำการถอน Certificate ดังกล่าวออก และทำการอัพเดท XProtect Antivirus Signature ส่วน Transmission Project ได้ทำการลบตัวติดตั้งดังกล่าวออกจากเว็บไซต์เป็นที่เรียบร้อยแล้ว และทำการออกอัพเดตเวอร์ชัน 2.92 ให้ผู้ใช้งานอัพเดตทันที นอกจากนี้ ทาง Palo Alto Networks ก็ได้อัพเดต URL Filtering และ Threat Prevention ให้กับลูกค้าของ Palo Alto Networks เพื่อทำการหยุด KeRanger เป็นที่เรียบร้อยแล้ว

วิธีการตรวจสอบ และการแก้ไข

หากผู้ใช้งานท่านใด ทำการดาวน์โหลดตัวติดตั้ง Transmission จาก Official Website หลังจาก 11:00am PST, วันที่ 4 มีนาคม 2016 และก่อน 7:00pm PST, วันที่ 5 มีนาคม 2016 ให้ทำการตรวจสอบเครื่องโดยด่วน ซึ่งอาจจะได้รับผลกระทบจาก KeRanger ได้

วิธีการตรวจสอบและลบ KeRanger มีขั้นตอนดังนี้

1.เปิด Terminal หรือ Finder และทำการตรวจสอบ Path เพื่อหาไฟล์ดังนี้

  • “/Applications/Transmission.app/Contents/Resources/General.rtf”
  • “/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf”

หากพบไฟล์ดังกล่าว ให้ทำการลบ Transmission ทิ้งทันที เพราะท่านอาจติด KeRanger แล้ว

2.เปิด “Activity Monitor” แล้วทำการตรวจสอบ Process ที่มีชื่อว่า “kernel_service” ว่ามีการทำงานอยู่หรือไม่ ถ้ามีการทำงานอยู่ ให้ตรวจสอบ process นั้น โดยการเลือก “Open Files and Ports” แล้วตรวจสอบว่ามีการทำงานกับไฟล์ “/Users//Library/kernel_service” หรือไม่ ถ้าตรวจพบ ให้ทำการ Terminate ทิ้งทันที ด้วยการกด “Quit -> Force Quit”

3.ทำการตรวจสอบว่ามีไฟล์ “.kernel_pid”, “.kernel_time”, “.kernel_complete” หรือ “kernel_service” อยู่ใน “~/Library” หรือไม่ ถ้ามีให้ทำการลบทิ้ง

ที่มา : http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

[Guest Post] Red Hat Enterprise Linux 9 สร้างนิยามใหม่ให้กับเทคโนโลยีที่เป็นจุดศูนย์กลางของนวัตกรรม

กรุงเทพฯ 20 พฤษภาคม 2565 – เร้ดแฮท อิงค์ (Red Hat) ผู้ให้บริการด้านโซลูชันโอเพ่นซอร์สระดับ แนวหน้าของโลก แนะนำ Red Hat Enterprise …

Tangerine Webinar: เจาะลึกเบื้องหลัง Smart City ด้วย Maps Intelligence

Tangerine ขอเรียนเชิญผู้บริหาร นักพัฒนา และ GIS Users เข้าร่วมงานสัมมนา Tangerine Webinar เรื่อง “เจาะลึกเบื้องหลัง Smart City ด้วย Maps …