Lamiyi

先週末、ハッカーらはオープンソースの Transmission BitTorrent アプリを、OS X で初めて完全に機能するランサムウェアに感染させることに成功したと Palo Alto Networks が報じている。

「KeRanger」と呼ばれるこのランサムウェアは、3月4日にTransmission 2.9のインストーラー2つに挿入されました。ファイルが感染バージョンに置き換えられた経緯は不明ですが、ウェブサイトが侵害された可能性があります。

KeRangerアプリケーションは有効なMacアプリ開発証明書で署名されていたため、AppleのGatekeeper保護を回避できました。ユーザーが感染アプリをインストールすると、埋め込まれた実行ファイルがシステム上で実行されます。KeRangerは3日間待機した後、Tor匿名化ネットワークを介してコマンドアンドコントロール（C2）サーバーに接続します。その後、マルウェアはシステム上の特定の種類の文書ファイルとデータファイルの暗号化を開始します。暗号化プロセスが完了すると、KeRangerは被害者に対し、ファイルの復元と引き換えに特定のアドレスに1ビットコイン（約400ドル）を支払うよう要求します。さらに、KeRangerは現在も開発が進められているようで、Time Machineバックアップファイルの暗号化も試みているようです。これにより、被害者がバックアップデータを復元できないようにしているようです。

この問題が報告された後、Transmission Projectは悪意のあるインストーラを削除し、AppleはXProtectウイルス対策シグネチャを更新し、悪用された証明書を失効させて、さらなるインストールを防止しました。2016年3月4日午前11時（太平洋標準時）から2016年3月5日午後7時（太平洋標準時）までにTransmissionをダウンロードした場合、感染している可能性があります。

ランサムウェアを識別して削除するために Palo Alto Networks が推奨する手順は次のとおりです。

● ターミナルまたはFinderを使用して、/Applications/Transmission.app/Contents/Resources/General.rtfまたは/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtfが存在するかどうかを確認してください。これらのいずれかが存在する場合、Transmissionアプリケーションは感染しているため、このバージョンのTransmissionを削除することをお勧めします。
● OS Xにプリインストールされている「アクティビティモニタ」を使用して、「kernel_service」という名前のプロセスが実行中かどうかを確認してください。実行中の場合は、プロセスを再確認し、「ファイルとポートを開く」を選択して、「/Users/」のようなファイル名があるかどうかを確認してください。

/Library/kernel_service” （図12）に表示されている場合は、そのプロセスはKeRangerのメインプロセスです。「Quit -> Force Quit」で終了することをお勧めします。
● これらの手順の後、~/Libraryディレクトリに「.kernel_pid」、「.kernel_time」、「.kernel_complete」、または「kernel_service」ファイルが存在するかどうかも確認することをお勧めします。存在する場合は削除してください。

ランサムウェアの仕組みの詳細については、以下のリンクをクリックしてください。

続きを読む