3月4日，用于蘋(píng)果操作系統(tǒng)Mac OS X客戶(hù)端的BitTorrent 客戶(hù)端安裝程序在發(fā)布幾個(gè)小時(shí)后，我們偵測(cè)到其已被勒索軟件感染，并將其命名為 “KeRanger”。之前唯一為公眾所熟知的針對(duì)OS X的勒索軟件為FileCoder, 由卡巴斯基實(shí)驗(yàn)室于2014年發(fā)現(xiàn)， 由于在發(fā)現(xiàn)的時(shí)候FileCoder尚不完整，所以我們認(rèn)為KeRanger是在OS X平臺(tái)上被發(fā)現(xiàn)的首個(gè)全功能勒索軟件。

　　3月4日早上，攻擊者使用KeRanger感染了兩個(gè)Transmission 2.90版本的安裝文件，當(dāng)我們發(fā)現(xiàn)這一問(wèn)題時(shí)，受到感染的DMG文件依舊可從開(kāi)源項(xiàng)目Transmission的網(wǎng)址上進(jìn)行下載。很有可能Transmission 官網(wǎng)已被攻陷，上面的文件已被重新編譯的惡意軟件所取代，但我們無(wú)法確認(rèn)這次感染是如何發(fā)生的。

　　由于KeRanger應(yīng)用簽署了一個(gè)有效的Mac 應(yīng)用開(kāi)發(fā)證書(shū)，因此可以繞過(guò)蘋(píng)果的GateKeeper 防護(hù)。一旦用戶(hù)安裝了該被感染應(yīng)用，內(nèi)嵌的可執(zhí)行文件就會(huì)在系統(tǒng)上運(yùn)行，三天后，KeRanger就會(huì)通過(guò)Tor匿名網(wǎng)絡(luò)與命令與控制(C2)服務(wù)器連接，之后惡意軟件就開(kāi)始對(duì)系統(tǒng)上某些特定的文檔和數(shù)據(jù)文件進(jìn)行加密。加密完成后，KeRanger就會(huì)要求受害者向一指定的地址支付一個(gè)比特幣(約400美元)，以贖回文件。另外，有跡象表明KeRanger仍處于活躍開(kāi)發(fā)中，似乎它同時(shí)也試圖對(duì)系統(tǒng)備份文件 Time Machine進(jìn)行加密，以阻止受害者恢復(fù)其備份數(shù)據(jù)。

　　3月4日當(dāng)天，Palo Alto Networks便向 Transmission 項(xiàng)目組以及蘋(píng)果公司報(bào)告了該勒索軟件問(wèn)題，蘋(píng)果公司因此廢除了這個(gè)有爭(zhēng)議的證書(shū)并且更新了其XProtect 防病毒簽名，Transmission Project已將該惡意軟件安裝程序從其網(wǎng)站上移除。同時(shí)，Palo Alto Networks也更新了其URL 過(guò)濾和威脅防御功能，以阻止KeRanger對(duì)系統(tǒng)的影響。

　　如何實(shí)現(xiàn)自我保護(hù)

　　從太平洋標(biāo)準(zhǔn)時(shí)間2016年3月4日上午11時(shí)至2016年3月5日下午7時(shí)，這個(gè)時(shí)間段里直接從官網(wǎng)上下載Transmission 安裝程序的用戶(hù)，很可能已經(jīng)受到了KeRanger的感染。如果用戶(hù)是稍早之前下載了Transmission安裝程序或者是從第三方網(wǎng)站上下載，我們也建議用戶(hù)進(jìn)行如下安全檢查操作，但老版的Transmission目前為止還未出現(xiàn)受到感染的跡象。

　　我們建議用戶(hù)執(zhí)行以下操作，以確定是否已受KeRanger感染并將其移除，以免文件被用于勒索而被控制，

　　1. 使用Terminal 或者Finder, 檢查/Applications/Transmission.app/Contents/Resources/路徑下或 /Volumes/Transmission/Transmission.app/Contents/Resources/是否有文件General.rtf存在。如果有，則表明Transmission應(yīng)用已被感染，我們建議將該版本Transmission予以刪除。

　　2. 借助預(yù)安裝在OS X里的 Activity Monitor 功能，檢查是否有一個(gè)名為 “kernel_service” 的程序在運(yùn)行。如果是，再次檢查該程序，選擇 “Open Files and Ports” 檢查是否有這樣一個(gè)文件名 “/Users/<username>/Library/kernel_service”。如果有，那么這個(gè)程序就是KeRanger的主程序，我們建議點(diǎn)擊 “Quit -> Force Quit” 來(lái)終止這個(gè)程序。

　　3. 經(jīng)過(guò)以上檢查后，我們建議用戶(hù)檢查一下，在路徑~/Library directory中是否有文件名為“.kernel_pid”, “.kernel_time”, “.kernel_complete” 和 “kernel_service”的文件存在，如果有，請(qǐng)刪除他們。

鑒于蘋(píng)果公司已經(jīng)撤消了這個(gè)有爭(zhēng)議的證書(shū)，并且更新了XProtect 簽名，當(dāng)有用戶(hù)試圖打開(kāi)一個(gè)已經(jīng)證明為受感染的Transmission版本時(shí)，就會(huì)出現(xiàn)一個(gè)警告框上面寫(xiě)著“Transmission 應(yīng)用將損壞你的電腦，請(qǐng)將其刪除至回收站”，或者 “Transmission文件無(wú)法打開(kāi)，請(qǐng)彈出此硬盤(pán)映射”。一旦出現(xiàn)該警告提示，我們建議您按照蘋(píng)果公司的建議進(jìn)行操作，以避免被感染。2

　　鑒于蘋(píng)果公司已經(jīng)撤消了這個(gè)有爭(zhēng)議的證書(shū)，并且更新了XProtect 簽名，當(dāng)有用戶(hù)試圖打開(kāi)一個(gè)已經(jīng)證明為受感染的Transmission版本時(shí)，就會(huì)出現(xiàn)一個(gè)警告框上面寫(xiě)著“Transmission 應(yīng)用將損壞你的電腦，請(qǐng)將其刪除至回收站”，或者 “Transmission文件無(wú)法打開(kāi)，請(qǐng)彈出此硬盤(pán)映射”。一旦出現(xiàn)該警告提示，我們建議您按照蘋(píng)果公司的建議進(jìn)行操作，以避免被感染。