Đầu tiên phát hiện bởi Palo Alto Networks, ransomware này đã được tìm thấy trên hai phiên bản của truyền 2.90.Kể từ khi truyền là một dự án hoàn toàn mã nguồn mở, các nhà nghiên cứu đã suy đoán rằng các trang web tải về bản thân bị xâm phạm. Theo bài viết của họ trên KeRanger bởi Claud Xiao và Jin Chen, ransomware sẽ mã hóa các tập tin cá nhân để khóa bạn ra khỏi đó, một quá trình mà họ sẽ lùi lại cho một khoản phí. Quá trình mã hóa chính nó là khá trơn: "Để mã hóa từng file, KeRanger bắt đầu bằng cách tạo ra một số ngẫu nhiên (RN) và mã hóa RN với khóa RSA lấy từ máy chủ C2 bằng cách sử dụng thuật toán RSA. sau đó nó lưu RN mã hóa vào đầu dẫn đến tập tin. Tiếp theo, nó sẽ tạo ra một khởi Vector (IV) sử dụng nội dung các tập tin ban đầu và lưu trữ các IV bên trong các tập tin kết quả. Sau đó, nó sẽ kết hợp RN và IV để tạo một khóa mã hóa AES. Cuối cùng, nó sẽ sử dụng khoá AES này cho các nội dung của tập tin gốc và viết tất cả các dữ liệu được mã hóa vào tập tin kết quả. " Nhưng được cảnh báo: tiếp tục điều tra về cơ chế đằng sau KeRanger phát hiện ra một tính năng đáng báo động, cụ thể là nó trông giống như có những quá trình tham gia mà đã không được hoàn thành. Không bị phát hiện, có thể các tính năng này có thể được kích hoạt vào một ngày sau đó. "Nó có vẻ như KeRanger vẫn đang được phát triển. Có một số chức năng rõ ràng tên '_create_tcp_socket', '_execute_cmd' và '_encrypt_timemachine'. Một số trong số họ đã được hoàn thành nhưng không được sử dụng trong các mẫu hiện tại. Phân tích của chúng tôi cho thấy những kẻ tấn công có thể cố gắng để phát triển chức năng backdoor và mã hóa Time file sao lưu máy là tốt. Nếu các tập tin sao lưu được mã hóa, nạn nhân sẽ không thể khôi phục tập tin bị hư hỏng bằng cách sử dụng Time Machine. " May mắn thay, các nhà phát triển truyền của đã phát hành một phiên bản mới mà sửa chữa lỗ hổng này. Đối với những người có thể đã bị nhiễm, Palo Alto Networks có hoàn sạch lên hướng dẫn ở đây .
Chủ Nhật, 20 tháng 3, 2016
Truyền Installer Update Sửa chữa ransomware Trên Windows
Bạn biết những gì đang mất tích từ ngày làm việc của bạn? Mất quyền truy cập vào một số tập tin quan trọng của bạn sau khi vô tình tải một số ransomware. Không có gì làm cho ngày đi mượt mà hơn nhận được một tin nhắn, nói cho bạn để trả tiền chuộc Bitcoin nếu bạn muốn để có được các tập tin của bạn trở lại. Thật không may, đó là thực tế đối với một số người dùng đã tải về Transmission BitTorrent Installer. Phần mềm này cho hệ điều hành MacOS X (phiên bản Linux có sẵn, đi kèm với Ubuntu) không chiếm nhiều không gian để nó chạy ở chế độ nền để cài đặt torrent nhanh chóng. Nó thậm chí có thể được điều khiển từ xa thông qua web. Đáng buồn thay, các phiên bản của phần mềm đã được tải về bất cứ lúc nào vào ngày thứ 4 và thứ 5 có thể cũng bị nhiễm KeRanger ransomware. Đầu tiên phát hiện bởi Palo Alto Networks, ransomware này đã được tìm thấy trên hai phiên bản của truyền 2.90.Kể từ khi truyền là một dự án hoàn toàn mã nguồn mở, các nhà nghiên cứu đã suy đoán rằng các trang web tải về bản thân bị xâm phạm. Theo bài viết của họ trên KeRanger bởi Claud Xiao và Jin Chen, ransomware sẽ mã hóa các tập tin cá nhân để khóa bạn ra khỏi đó, một quá trình mà họ sẽ lùi lại cho một khoản phí. Quá trình mã hóa chính nó là khá trơn: "Để mã hóa từng file, KeRanger bắt đầu bằng cách tạo ra một số ngẫu nhiên (RN) và mã hóa RN với khóa RSA lấy từ máy chủ C2 bằng cách sử dụng thuật toán RSA. sau đó nó lưu RN mã hóa vào đầu dẫn đến tập tin. Tiếp theo, nó sẽ tạo ra một khởi Vector (IV) sử dụng nội dung các tập tin ban đầu và lưu trữ các IV bên trong các tập tin kết quả. Sau đó, nó sẽ kết hợp RN và IV để tạo một khóa mã hóa AES. Cuối cùng, nó sẽ sử dụng khoá AES này cho các nội dung của tập tin gốc và viết tất cả các dữ liệu được mã hóa vào tập tin kết quả. " Nhưng được cảnh báo: tiếp tục điều tra về cơ chế đằng sau KeRanger phát hiện ra một tính năng đáng báo động, cụ thể là nó trông giống như có những quá trình tham gia mà đã không được hoàn thành. Không bị phát hiện, có thể các tính năng này có thể được kích hoạt vào một ngày sau đó. "Nó có vẻ như KeRanger vẫn đang được phát triển. Có một số chức năng rõ ràng tên '_create_tcp_socket', '_execute_cmd' và '_encrypt_timemachine'. Một số trong số họ đã được hoàn thành nhưng không được sử dụng trong các mẫu hiện tại. Phân tích của chúng tôi cho thấy những kẻ tấn công có thể cố gắng để phát triển chức năng backdoor và mã hóa Time file sao lưu máy là tốt. Nếu các tập tin sao lưu được mã hóa, nạn nhân sẽ không thể khôi phục tập tin bị hư hỏng bằng cách sử dụng Time Machine. " May mắn thay, các nhà phát triển truyền của đã phát hành một phiên bản mới mà sửa chữa lỗ hổng này. Đối với những người có thể đã bị nhiễm, Palo Alto Networks có hoàn sạch lên hướng dẫn ở đây .
Đầu tiên phát hiện bởi Palo Alto Networks, ransomware này đã được tìm thấy trên hai phiên bản của truyền 2.90.Kể từ khi truyền là một dự án hoàn toàn mã nguồn mở, các nhà nghiên cứu đã suy đoán rằng các trang web tải về bản thân bị xâm phạm. Theo bài viết của họ trên KeRanger bởi Claud Xiao và Jin Chen, ransomware sẽ mã hóa các tập tin cá nhân để khóa bạn ra khỏi đó, một quá trình mà họ sẽ lùi lại cho một khoản phí. Quá trình mã hóa chính nó là khá trơn: "Để mã hóa từng file, KeRanger bắt đầu bằng cách tạo ra một số ngẫu nhiên (RN) và mã hóa RN với khóa RSA lấy từ máy chủ C2 bằng cách sử dụng thuật toán RSA. sau đó nó lưu RN mã hóa vào đầu dẫn đến tập tin. Tiếp theo, nó sẽ tạo ra một khởi Vector (IV) sử dụng nội dung các tập tin ban đầu và lưu trữ các IV bên trong các tập tin kết quả. Sau đó, nó sẽ kết hợp RN và IV để tạo một khóa mã hóa AES. Cuối cùng, nó sẽ sử dụng khoá AES này cho các nội dung của tập tin gốc và viết tất cả các dữ liệu được mã hóa vào tập tin kết quả. " Nhưng được cảnh báo: tiếp tục điều tra về cơ chế đằng sau KeRanger phát hiện ra một tính năng đáng báo động, cụ thể là nó trông giống như có những quá trình tham gia mà đã không được hoàn thành. Không bị phát hiện, có thể các tính năng này có thể được kích hoạt vào một ngày sau đó. "Nó có vẻ như KeRanger vẫn đang được phát triển. Có một số chức năng rõ ràng tên '_create_tcp_socket', '_execute_cmd' và '_encrypt_timemachine'. Một số trong số họ đã được hoàn thành nhưng không được sử dụng trong các mẫu hiện tại. Phân tích của chúng tôi cho thấy những kẻ tấn công có thể cố gắng để phát triển chức năng backdoor và mã hóa Time file sao lưu máy là tốt. Nếu các tập tin sao lưu được mã hóa, nạn nhân sẽ không thể khôi phục tập tin bị hư hỏng bằng cách sử dụng Time Machine. " May mắn thay, các nhà phát triển truyền của đã phát hành một phiên bản mới mà sửa chữa lỗ hổng này. Đối với những người có thể đã bị nhiễm, Palo Alto Networks có hoàn sạch lên hướng dẫn ở đây .
Đăng ký:
Đăng Nhận xét (Atom)
Không có nhận xét nào:
Đăng nhận xét