Mac Ransomware Keranger的缺陷可以让用户恢复文件
用于Mac OS X的Keranger文件加密Ransomware程序包含CryPTO漏洞,可以允许用户在不支付网络犯罪的情况下恢复文件。
根据AntiVirus公司Bitdefender的研究人员,Keranger基于另一个名为Linux.encoder的ransomware程序,首先在11月和基于Linux的Web服务器中出现。
前三个版本的Linux.encoder在他们的加密实现中缺陷,允许BitDefender研究人员创建可用于解密受恶意程序影响的文件的工具。
Keranger于3月4日在流行传输BitTorrent客户的官方网站上找到。攻击者已损害服务器,并使用恶意的服务器替换用于传输版本2.90的安装程序。
Rogue Installer通过发给土耳其公司的合法苹果开发人员证书进行数字签署。几天后,苹果撤销了证书。
“被Bitdefender Labs分析的感染Mac OS X Torrent客户端更新看起来几乎与Linux.encoder Trojan版本4的版本几乎相同,这是从2016年初感染了数千个Linux服务器的4版,”Bitdefender研究人员在星期二博客文章说。
除了一些相关的差异和设计用于定位和加密Apple Time机器备份的新例程之外,代码中的所有其他功能都是相同的,Bitdefender的高级电子威胁分析师Bogdan Botezatu表示。
根据Botezatu的说法,Linux.encoder版本4在2月初出现并具有与以前版本相同的加密缺陷,这意味着Keranger的加密实现也被打破。
Bitdefender尚未发布用于Keranger影响的文件的解密工具,但如果对其的需求有足够的需求,将考虑开发一个。
传输项目的代表告诉路透社,Rogue文件下载了大约6,500次。但是,其文件实际加密的操作系统X用户的数量可能很低,因为勒索软件内置了为期三天的延迟,并且很快发现了。
这是一个谜,为什么袭击者追逐一个合法的Apple开发人员证书并闯入受信任的软件项目的网站,只能分发缺陷的赎金软件程序。
无论这种不一致的原因如何,其他网络犯罪分子最有可能尝试复制攻击,并且他们赢得了同样的错误。
