管家首页下载管家
忘了密码?

扫一扫,访问微社区

腾讯电脑管家论坛

搜索
电脑管家论坛勋章申请贴茶馆版区活动申请专用贴管家论坛活动汇总管家论坛精华帖申请管家论坛策划组成立啦!
查看: 2594|回复: 1

[病毒木马] 勒索样本入侵MacOS,Mac安全性遭挑战

[复制链接]
Sukey        

117

主题

2

好友

4068

积分

总版主

Rank: 8Rank: 8

帖子
4836
彩盾
15084

突出贡献 论坛元老 至尊荣耀 我是你的眼公益达人 活跃管饭 美女勋章 安全达人 光棍勋章 快乐管家

发表于 2017-6-18 12:41 |显示全部楼层



        今年5 月爆发WannaCry病毒,众多Windows用户被感染,在Linux用户庆辛自己逃过一劫时,WannaCry 变种又通过Wine感染了Linux系统,只有MacOS的用户笑到了最后。但是MacOS的安全并没有躲过又一次的勒索病毒挑战。

1.png



        近日,腾讯反病毒实验室发现一种MacRansom勒索软件,目前该软件的传播还仅仅是通过Tor网络中的门户网站做宣传,然后通过点对点的邮件传送该勒索软件。

分析

       与Windows上的勒索软件如出一辙,同样通过加密用户的文件来向用户索要赎金。以下是该勒索样本的工作流程:


2.jpg

(图1,整体流程图)


       与windows的勒索病毒的套路差不多:

1,环境的检查

      检查进程是否被调试(图2),运行环境是否是Mac(图3),是否包含两个CPU(图4)

3.jpg

2,检查进程是否被调试


4.jpg

3,检查是否在Mac环境


5.jpg

4,是否有两个CPU



      2,创建副本文件到系统目录“~/Library/.FS_Store”,伪装自己。

      3,设置自启动,保证每次开机后运行

      创建一个启动点在,~/Library/LaunchAgents/com.apple.finder.plist.com.apple.finder的内容如下:(图5)


6.jpg

5,添加启动点


       4,对加密目标文件的寻找,最大限度的寻找对用户重要的文件来进行加密

       枚举系统所有目录,寻找文件大小大于8字节,当前用户拥有读权限的文件,其中该被运行的敲诈软件所在的路径下的文件不会被加密。

       5,最大程度的避免文件被快速解密

       其中需要指出的是,该勒索软件,对文件的加密使用的是对称加密,但是由于私钥是随机生成的,并且没有在本地以任何形式来备份,所以当该勒索软件的进程退出后,是无法获取到加密秘钥的,即使用户支付的赎金,加密文件也无法得到恢复。

      建议

       根据腾讯反病毒实验室的数据表明,目前针对Mac的有害文件仅是针对Windows 的2%不到,但是随着Mac OS X的市场份额不断上升,Mac上的有害文件也在呈上升趋势,做好安全防范对Mac用户来说也是非常有必要的。

      在此腾讯反病毒实验室给出几点防范建议:

      1,及时更新系统和软件,打好补丁。
      2,警惕任何通过电子邮件发来的信息。
      3,通过正规渠道下载软件应用。
      4,运行软件时,系统提示该程序来自不明身份的开发人员时,谨慎运行该软件。
      5,对系统上重要的文件和数据,定期做好备份。




欢迎前往腾讯电脑管家官网:https://guanjia.qq.com/main.html  了解管家最新动态
Aimee、        

9

主题

1

好友

365

积分

[LV.3] PCMgr RC

Rank: 2

帖子
40
彩盾
3382
发表于 2017-6-19 01:01 |显示全部楼层
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

手机版|Archiver|Tencent Inc   

GMT+8, 2017-8-18 11:04 , Processed in 5.299190 second(s), 9 queries , Memcache On.

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部