Agho File virus Ransomware [.Agho] Removal and Decrypt Guide to Recover Encrypted Files
Nếu bạn là một trong những người không may mắn vào thứ Sáu để tải xuống và cài đặt phiên bản Truyền tải mới, một ứng dụng tải xuống torrent, thì hôm nay là ngày bạn tính toán: Thông tin của bạn và chính quyền truy cập vào trụ cột của bạn, có thể được đưa ra cho tiền chuộc.
Người dùng Mac chưa bao giờ được tiếp xúc với ransomware hoàn toàn nhận ra và vì lý do chính đáng: Các sản phẩm của Apple đã là thành trì tương đối chống lại virus. Nhưng trình cài đặt này đã che giấu chương trình độc hại, KeRanger và cho nó thời gian ngủ đông ba ngày. Truyền tải là một trong những ứng dụng khách BitTorrent phổ biến, đơn giản và trực quan hơn và giúp người dùng dễ dàng tải xuống torrent, có thể là torrent của album, chương trình, phim, v.v.
Vào ngày thứ ba định mệnh đó - xảy ra hôm nay - những người đã cài đặt Phiên bản truyền tải 2.90 và tận hưởng ba ngày tưng bừng của lòng tốt đã được đáp ứng với một ghi chú chuộc lỗi thô lỗ vào lúc 2 giờ chiều. Giờ miền Đông: KeRanger đã mã hóa nội dung của những máy Mac không may mắn và yêu cầu 1 bitcoin - tương đương, ngày nay, khoảng 409 đô la - để giải mã dữ liệu nói. Và với hơn 300 loại phần mở rộng tập tin khác nhau được mã hóa, rất ít được tha.
John Clay tại Transmission đã đưa ra Nghịch đảo một câu chuyện đầy đủ hơn:
Sau đó, chúng tôi sẽ đăng một thông báo trong vài ngày tới với nhiều thông tin hơn, nhưng dự đoán tốt nhất của chúng tôi tại thời điểm này là khoảng 6.500 hình ảnh đĩa bị nhiễm đã được tải xuống (trong số hàng chục ngàn lượt tải xuống hợp pháp của phiên bản này trước đó). Trong số đó, giả định của chúng tôi là nhiều người không thể chạy tệp bị nhiễm do Apple nhanh chóng thu hồi chứng chỉ được sử dụng để ký nhị phân, cũng như cập nhật các định nghĩa XProtect. Chúng tôi đang chờ đợi xác nhận từ Apple về điều đó.
Cơ chế cập nhật tự động Sparkle không bị xâm phạm và sẽ không cập nhật lên tệp nhị phân bị nhiễm vì hàm băm khác nhau. Hơn nữa, bộ nhớ cache của bên thứ ba (CacheFly) của chúng tôi không bị xâm phạm, đó là nơi nhiều trang web cập nhật phần mềm liên kết đến (MacUpdate et al). Chúng tôi cũng đã xác nhận rằng người dùng có phiên bản bị nhiễm có thể tự động cập nhật thành công các bản phát hành hợp pháp là 2,91 hoặc 2,92, với 2,92 tích cực cố gắng loại bỏ phần mềm độc hại.
Nếu bạn sử dụng Transmission, tại đây, cách kiểm tra xem máy tính của bạn có bị nhiễm hay không:
- Mở Trình giám sát hoạt động tích hợp trong Ứng dụng / Tiện ích.
- Trong tab của đĩa Disk, tìm kiếm cho kernel kernel_service. (Phần lõi kernel_task là vô hại và là một phần quan trọng của OSX; nếu bạn thấy quá trình đó đang chạy, đừng hoảng sợ.)
Ghi chú tiền chuộc, lịch sự kỳ lạ được đưa ra bởi những người tạo ra nó, những linh hồn xin lỗi không thể chấp nhận được, có thể xem được ở đây. Nó bắt đầu, Viking Máy tính của bạn đã bị khóa và tất cả các tệp của bạn đã được mã hóa bằng mã hóa RSA 2048 bit.
Truyền tải đã phản hồi nhanh chóng và cập nhật trình cài đặt của nó để loại trừ và cố tình loại bỏ KeRanger khỏi các máy tính bị nhiễm.
Một trong những nhà nghiên cứu đã phát hiện ra ransomware - Claud Xiao - đã tích cực truyền bá:
Mọi người, đây là lần duy nhất tôi yêu cầu sự giúp đỡ của bạn để truyền bá tin tức. #KeRanger được thiết kế để bắt đầu mã hóa vào sáng thứ Hai tuần sau!
- Claud Xiao (@claud_xiao) ngày 6 tháng 3 năm 2016
#Transmission vừa đẩy bản cập nhật 2,92 bao gồm mã để phát hiện và xóa phần mềm ransomware #KeRanger. Cập nhật nó trước Thứ Hai 11:00 sáng.
- Claud Xiao (@claud_xiao) ngày 6 tháng 3 năm 2016
Nó cũng cảnh báo tất cả những người đang cập nhật chương trình:
Apple cũng đã phản hồi bằng cách loại bỏ phiên bản chứng nhận cài đặt này - một chứng nhận cho phép phần mềm ransomware bỏ qua GateKeeper và XProtect nghiêm ngặt thông thường để giữ an toàn cho máy Mac.
Palo Alto Networks đã phơi bày vi phạm an ninh. Đối với báo cáo đầy đủ và hướng dẫn tự bảo vệ, xem tại đây.