Hur fungerar Keranger då?

Keranger är designat med ett enda syfte: att ta pengar från Mac-användare. Skräpkoden har fått sitt namn då filen som den utgår ifrån heter OSX.KeRanger.A. Filen finns gömd inuti ett annat program och installeras tillsammans med det.

Keranger är den första instansen av ransomware på Mac och installerades tillsammans med Transmission 2.90. Om du laddat ner och installerat 2.90, kommer du även få Keranger på köpet. Programmet väntar i tre dagar och börjar därefter kryptera filer i Mac OS.

Claud Xiao på Palo Alto Network förklarar hur Keranger fungerar:

”Keranger var signerad med ett legitimt certifikat för Mac-utveckling och kunde därför smyga förbi Apples Gatekeeper-skydd. Om en användare installerar de infekterade apparna kommer en inbäddad fil att köras i systemet. Keranger väntar sedan i tre dagar innan den kopplas upp mot servrar i anonyma Tor-nätverket. Därefter börjar malware-koden att kryptera vissa typer av dokument och datafiler i systemet."

"Efter att krypteringsprocessen slutförts, kommer Keranger att kräva att offret betalat en summa bitcoin (ungefär 4 000 kronor) för att återfå sina filer. Det verkar även som att Keranger fortfarande är under utveckling och att koden försöker kryptera Time Machine-säkerhetskopior för att förhindra de drabbade från att återställa sin data."

"Palo Alto Networks rapporterade problemet till Transmission och till Apple den 4 mars. Apple har sedan dess dragit tillbaka skadliga certifikat och uppdaterat Xprotect-signaturen. Transmission har i sin tur plockat bort de smittade installeringsfilerna från sin hemsida. Palo Alto Network har även uppdaterat URL-filter och Threat Prevention för att stoppa Keranger från att påverka system”.

Så här kontrollerar du om Keranger infekterat din Mac

mac

Om du är orolig över att Keranger infekterat Mac OS rekommenderar Palo Alto att du gör följande:

  1. Använd antingen Terminal eller Finder och kontrollera om /Applications/Transmission.app/Contents/Resources/ General.rtf eller /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf existerar. Om någon av dessa finns på datorn kan Transmission-appen vara infekterad och du bör därför avinstallera versionen.
     
  2. Använd Activity Monitor-appen som finns förinstallerad på Mac OS för att kontrollera om det finns en process vid namn kernel_service som körs. Om fallet är så, välj Öppna Filer och Portar och kontrollera om det finns en fil i stil med /Users//Library/kernel_service. Om den finns har du lyckats hitta Kerangers huvudprocess. Vi rekommenderar att du slår av den genom att använda Avsluta och därefter Tvingad Avstängning.
     
  3. Efter dessa steg rekommenderar vi användarna att kontrollera ifall filerna .kernel_pid, .kernel_time, .kernel_complete eller kernel_service existerar i ~/Library. Om de gör det – ta bort dem.


Så här gör du om Keranger krypterat filer på din Mac

Keranger är fortfarande ungt och lösningen på krypterade filer är vagt. Som det ser ut i dag kan du inte avkryptera filerna men du bör kunna återställa Mac OS via en säkerhetskopia.

Den andra lösningen vore att betala bedragarna, även om vi inte rekommenderar det. Det finns ingen garanti på att du får dina filer okrypterade eller att de inte krypterar dem igen vid senare tillfälle.

Det tredje alternativet är att göra en ren ominstallation av Mac OS och börja om från början. Det tråkiga med detta är att du blir av med alla dina filer i processen. Det är ingen perfekt lösning, men det är det enda sättet för att få bort Keranger från din maskin.