KeRanger：使用被感染的BitTorrent安装程序传播勒索软件，对Mac OS X电脑中的文件进行恶意加密

　　近日，行业中发现首个目标攻击Mac OS X操作系统的恶意软件KeRanger。KeRanger （OSX.Keranger）通过已经遭受感染的Transmission BitTorrent客户端的安装程序快速进行传播。在 2016年3月4日和5日下载Transmission的Mac OS X用户有可能面临该恶意软件的威胁。

　　虽然KeRanger是针对Mac OS X操作系统而设计，但其表现行为与基于Windows操作系统的勒索软件极为相似，尤其是TeslaCrypt （Trojan.Cryptolocker.N）。用户一旦安装该恶意软件，KeRanger将会搜索大约300个不同的文件类型，并对其发现的任何文件进行加密。随后，恶意软件将会弹出要求受害者支付1比特币赎金的勒索信息（大约为408美元）。受害者需要通过匿名Tor网络的网站完成赎金支付。

　　KeRanger使用有效的Mac开发者ID进行签名，这意味着恶意软件能够绕开OS X用于锁住不可信来源软件的Gatekeeper功能。现在，苹果公司已经撤销了KeRanger的开发者 ID。

　　背景资料

　　随着苹果设备受欢迎程度的增加，针对Mac OS X操作系统的恶意软件的出现只是时间问题。之前就曾经出现过恶意网站攻击Mac OS X用户所使用的Safari浏览器的案例。在该案例中，使用java script的网站会导致Safari浏览器不断弹出窗口，告知用户由于查看非法内容，浏览器已经被 FBI“锁定”。但是，到目前为止还未出现专门针对Mac OS X操作系统的恶意软件。

　　2015 年 11 月，由巴西网络安全研究人员 Rafael Salema Marques 研发的名为 Mabouia （OSX.Ransomcrypt）的概念验证 （PoC） 威胁揭示了一个事实：Mac设备可能无法对勒索软件威胁进行免疫。Marques与赛门铁克公司和苹果公司分享了该恶意软件的样本。赛门铁克公司的安全研究人员分析并确认PoC能够发挥作用。如果落入犯罪分子手中，该威胁可以创建正常运作的Mac OS X 加密勒索软件。但Marques表示，他并无公开发布此恶意软件的意图。

　　潜在威胁

　　虽然KeRanger仅通过遭受感染的软件进行了快速的传播，但Mac用户不能放松警惕，攻击者可能会试图寻找其他的传播渠道。除此之外，这些成功的恶意攻击可能会刺激其他不法组织创建 Mac OS X勒索软件的变体。

　　赛门铁克提示如何防御勒索软件

　　· 定期备份电脑中的文件。如果用户的电脑确实被勒索软件感染，在移除恶意软件后，文件便可恢复。

　　· 更新使用最新版本的安全软件，避免遭受新型恶意软件的攻击。

　　· 升级操作系统和其他软件。软件更新一般包含修复最新发现的安全漏洞补丁。

　　· 删除收到的所有可疑邮件，尤其是包含链接或附件的邮件。

　　赛门铁克保护

　　赛门铁克和诺顿产品通过下列监测防御 KeRanger：

　　· AV - OSX.Keranger

　　· 入侵防御系统 （IPS） - 系统感染：Trojan.KeRanger活动·

　　如需了解更多有关威胁Mac OS X及其他Apple平台的安全信息，请下载阅读白皮书：Apple威胁概况。