KeRanger OS X virüsü nasıl temizlenir?

brsozl (1961) 8 yıl önce sordu

KeRanger OS X virüsü nedir?

KeRanger OS X virüsü nasıl temizlenir?

.encrypted uzantılı şifrelenmiş dosyalar nasıl açılır?

KeRanger OS X virüsü ile şifrelenmiş dosyalar nasıl açılır?

Apple cihazlarda .encrypted uzantılı şifrelenmiş dosyalar nasıl açılır?

Mac OS X .encrypted uzantılı şifrelenmiş dosyalar nasıl açılır?

Toplam 1 cevap


brsozl (1961) 8 yıl önce cevapladı

KeRanger OS X virüsü nedir?

Dosya şifreleme virüslerinin oldukça yaygın olduğu bu dönemde Apple'ın sahip olduğu OS X işletim sistemi de nasibini almış durumda. OS X işletim sisteminde popüler olarak kullanılan Transmission BitTorrent istemcisi üzerinden bulaşan KeRanger OS X virüsü, ilk kez Palo Alto Networks tarafından keşfedildi.

Kurbanının Keranger OS X virüsünü içeren Transmission BitTorrent istemcisinin yüklemesinin ardından 3 gün boyunca gizlenen KeRanger OS X virüsü, 3 günün sonunda şifreleme algoritmasını çalıştırarak hedefinde olan dosyaları şifreliyor. Kısacası KeRanger OS X virüsüAES şifreleme algoritmasını kullanan ve Apple'ın sahip olduğu OS X işletim sistemi üzerinde çalışan bir dosya şifreleme virüsüdür. Ek olarak KeRanger OS X virüsü şifrelenen dosyaların açılması için kurbandan fidye de talep etmektedir.

KeRanger OS X virüsü bilgisayarıma nasıl bulaştı?

KeRanger OS X virüsü, OS X işletim sistemine sahip MacBookMacBook ProMacBook Air ve iMac gibi cihazlarınıza popüler Transmission BitTorrent istemcisi üzerinden bulaşıyor. Transmission BitTorrent istemcisine entegre edilmiş KeRanger OS X fidye virüsü aslında POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI'nin sertifikasını kullanarak sisteme legal olarak görünmektedir. Yani KeRanger OS X virüsü, bir Türk şirketinin güvenlik açıklarından yararlanmaktadır.

KeRanger OS X virüsü, zararlı Transmission BitTorrent istemcisinin yüklenmesinin ardından aşağıdaki görselde işaretlenmiş olan General.rtf dosyası ile iletişime geçmektedir.

General.rtf dosyası ile iletişime geçen KeRanger OS X virüsü, ~/Library/kernel_service, ~/Library/.kernel_pid ve ~/Library/.kernel_time adında dosyalar oluşturmaktadır.

Oluşturulan bu dosyalar sayesinde KeRanger OS X virüsü, kurbanın bilgisayarındaki tarih ve saat bilgilerini alarak kendini 3 gün sonra etkinleştirmek üzere uykuya yatıracaktır. KeRanger OS X virüsü kendini etkinleştirtiği zaman sunucularına bağlanıp cihazdaki dosyaları şifrelemek için bir şifreleme anahtarı almaktadır.

KeRanger OS X virüsü, şifreleme anahtarını sunucudan aldıktan sonra cihazdaki bütün dosyaları taramaktadır. Dosyaların taranması ardından harici olarak bağlı depolama birimleri de dahil olmak üzere hedefinde olan bütün dosyaları şifrelemektedir. KeRanger OS X virüsü AES şifrelem algoritması ile şifrelediği bu dosyaların ismini de değiştirmektedir. Örneğin uzmanim.net.jpg dosyası KeRanger OS X virüsü ile şifrelendikten sonra uzmanim.net.encrypted olarak değişir. Yani .encrypted uzantılı bir şifrelenmiş dosya haline dönüşür.

KeRanger OS X virüsünün şifrelemek için hedef aldığı dosya uzantıları:

.3dm, .3ds, .3g2, .3gp, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .back, .backup, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .cdb, .cdf, .cdr, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .class, .cls, .cmt, .cnv, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db3, .dbf, .dbr, .dbs, .dc2, .dcr, .dcs, .dcx, .ddd, .ddoc, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .ebd, .edb, .eml, .eps, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fm, .fp7, .fpx, .fxg, .gdb, .gray, .grey, .grw, .gry, .hbk, .hpp, .ibd, .idx, .iif, .indd, .java, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .laccdb, .lua, .m4v, .maf, .mam, .maq, .mar, .maw, .max, .mdb, .mdc, .mde, .mdf, .mdt, .mef, .mfw, .mmw, .mos, .mov, .mp3, .mp4, .mpg, .mpp, .mrw, .mso, .myd, .ndd, .nef, .nk2, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .one, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pbo, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pip, .pl, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .pub, .puz, .py, .qba, .qbb, .qbm, .qbw, .qbx, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rwz, .sas7bdat, .say, .sd0, .sda, .sdf, .snp, .sql, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vob, .vsd, .vsx, .vtx, .wav, .wb2, .wbk, .wdb, .wll, .wmv, .wpd, .wps, .x11, .x3f, .xla, .xlam, .xlb, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpp, .xsn, .yuv, .zip, .tar, .tgz, .gzip, .tib, .sparsebundle


KeRanger OS X virüsü, şifreleme işlemlerinin bitirdikten sonra şifrelediği her klasör içinde README_FOR_DECRYPT.txt adında bir doküman oluşturmaktadır. Bu dokümanda çeşitli bilgiler vererek kurbandan fidye istemektedir.

KeRanger OS X virüsü README_FOR_DECRYPT.txt dokümanında belirttiği gibi şifrelenmiş dosyaların açılması için belirli bir ücret talep etmektedir. onion uzantılı bir siteye girerek ödeme yapmanızı isteyen KeRanger OS X virüsü, ödeme yapmanız durumunda şifrelenen dosyaların açılması için bir çözüm aracı sunacaktır.

 . onion uzantılı web sayfasına girildiğinde ise aşağıdaki görselde bulunan ekran açılıyor. Bu ekranda kurbandan Bitcoin adresi ile giriş yapması isteniyor.

NOT: KeRanger OS X virüsü ödeme seçeneklerinin yanı sıra bir dosyayı ücretsiz olarak çözeceğini belirtiyor. Bir dosya seçerek ücretsiz bir şekilde çözmeyi deneyebilirsiniz.

Son olarak Bitcoin ile gerekli ödeme yapıldıktan sonra deşifre aracı için bir indirme linki aktif hale getiriliyor. Bu aracın çalıştırılmasının ardından ise tüm dosyalar çözülüyor.

KeRanger OS X virüsünün dosyaları:

~/Desktop/README_FOR_DECRYPT.txt
~/Library/.kernel_complete
~/Library/.kernel_pid
~/Library/.kernel_time
~/Applications/Transmission.app/Contents/Resources/General.rtf
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf


KeRanger OS X virüsünün şifrelediği dosyalar nasıl açılır?

KeRanger OS X virüsünün şifrelediği dosyaları açmak için maalesef deşifre aracı bulunmuyor. Ancak KeRanger OS X virüsünü temizlemek mümkün. KeRanger virüsünü temizlemek için aşağıdaki sayfamızdan yararlanabilirsiniz.

KeRanger OS X Removal Tool nasıl kullanılır?

Fidyecilere ödeme yapmak çözüm mü?

KeRanger OS X virüsü henüz çok yeni olduğun için çözümü şuan için yok. Ancak fidye ödemeniz durumunda KeRanger OS X virüsü çözüm aracını kurbanla paylaşıyor. Yani şuan için şifrelenen dosyaların tek çözüm yolu fidye ücretini ödemek.

Fidyecilere ödeme yapmanız daha yeni fidye virüslerinin ortaya çıkmasına destek olmak anlamına geliyor.

Fakat dosyalar sizin için önemliyse ve başka bir çözüm yolu kalmadıysa, pazarlık yaparak, fidyeciler ile anlaşmayı deneyebilirsiniz.

NOT: Çeşitli fidye virüslerinden nasıl korunabileceğinizi aşağıdaki bağlantıdan öğrenebilirsiniz.

Fidye virüslerinden nasıl korunurum?

Kaynak: BleepingComputer