Как удалить KeRanger с Mac

Краткое описание угрозы

KeRanger — это ранняя реализация полноценного шифровальщика для macOS. Вредоносное ПО распространялось через модифицированный дистрибутив Transmission (версия 2.90). После установки KeRanger ожидал три дня, затем связывался с сервером злоумышленников и начинал шифровать файлы на диске. Требование выкупа — 1 bitcoin (объявленная сумма примерно $400 по данным исследователей на момент инцидента).

Определение: ransomware — программа, которая шифрует файлы и требует плату за ключ расшифровки.

Важно: шифрование, которое использует KeRanger, считается стойким — если вы подождали, пока вредонос завершит работу, простых способов расшифровать данные нет.

Как действует KeRanger

• Вредонос был встроен в инсталлятор Transmission и подписан действующим сертификатом разработчика, что позволяло обойти Gatekeeper.
• После установки программа оставляет модуль в библиотеке пользователя и запускает фоновый процесс под именем kernel_service.
• Через три дня вредонос связывается с сервером управления и начинает шифрование пользовательских данных.

Поиск и удаление KeRanger — шаг за шагом

Важно: выполняйте действия под учётной записью с правами администратора. Если сомневаетесь — обратитесь к ИТ‑специалисту.

1. Найдите подозрительные файлы

• Откройте Finder или Terminal и выполните поиск по путям:
  • /Applications/Transmission.app/Contents/Resources/General.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

Если на диске есть один из этих файлов — это сильный индикатор установки заражённой сборки Transmission. Удалите приложение Transmission целиком: переместите /Applications/Transmission.app в корзину и очистите корзину.

2. Проверьте запущенные процессы

• Откройте «Мониторинг системы» (Activity Monitor).
• Ищите процесс с именем kernel_service.
• Если процесс найден — дважды щёлкните по нему, перейдите на вкладку “Open Files and Ports” (Открытые файлы и порты).
• Если вы видите путь вида /Users/<ваш_пользователь>/Library/kernel_service, процесс соответствует KeRanger.

Действие: выберите «Quit» → «Force Quit» (Завершить принудительно). После этого продолжайте удалять файлы из следующего пункта.

3. Удалите следы в домашней библиотеке

Проверьте каталог ~/Library (в домашней папке). Удалите, если найдёте следующие файлы:

• .kernel_pid
• .kernel_time
• .kernel_complete
• kernel_service

Используйте Finder с включённым отображением скрытых файлов или Terminal:

rm ~/Library/.kernel_pid (и т.д.).

Важно: удаляйте только перечисленные файлы. Если вы не уверены, сделайте резервную копию перед удалением.

4. Обновите или переустановите Transmission

• Удалите заражённую версию Transmission со всех устройств.
• Скачайте официальную версию с сайта проекта Transmission и установите версию, помеченную как безопасную (в то время была выпущена версия 2.92, которая удаляет рантайм‑модули).

5. Проверьте и восстановите данные

• Если у вас есть резервные копии (Time Machine, сторонние бэкапы, облачные копии) — восстановите файлы из них после полной очистки системы.
• Если резервных копий нет и файлы уже зашифрованы — шансы восстановить данные без ключа крайне малы. Заплатить выкуп — морально и юридически спорный шаг; платёж не гарантирует получение действующего ключа.

Когда этот способ не сработает

• Если KeRanger успел завершить процесс шифрования перед вашими действиями — удаление исполняемых модулей не расшифрует уже заблокированные файлы.
• Если вредонос изменил или удалил резервные копии — восстановление затруднено.

Альтернативные подходы и инструменты

• Используйте антивирусы для macOS известных вендоров — они могут обнаружить и удалить компоненты рантайма, но не расшифруют файлы.
• Обратитесь к профильным службам по восстановлению данных: в некоторых случаях специалисты способны восстановить части данных или предупредить дальнейшее повреждение.
• При корпоративных инцидентах — переключитесь на изолированную сеть и подключите готовый план реагирования.

Контрольный список для администратора

• Отрубить интернет‑каналы заражённых машин (по возможности).
• Найти и удалить заражённую сборку Transmission.
• [ ] Завершить процесс kernel_service на всех хостах.
• [ ] Удалить указанные файлы из ~/Library для каждого пользователя.
• Обновить правила Gatekeeper и XProtect, применить сигнатуры.
• Восстановить файлы из доверенных резервных копий.
• Провести аудит других рабочих станций на предмет установки той же версии Transmission.

Инцидентный план и откат (runbook)

1. Изоляция: отключите подозрительные машины от сети.
2. Сбор данных: снимите логи, список процессов, контрольные суммы подозрительных файлов.
3. Устранение: завершите процессы, удалите файлы, переустановите ПО из проверенного источника.
4. Восстановление: откат к последней безопасной резервной копии, восстановление сервисов.
5. Уроки: ревизия процедур установки ПО, внедрение whitelisting и MDM-политик.

Критерии приёмки

• Нет запущенного процесса kernel_service.
• Отсутствуют файлы .kernel_* и kernel_service в ~/Library.
• Transmission удалён или заменён на официальную безопасную версию.
• Восстановленные файлы проверены на целостность.

Ментальные модели и рекомендации

• «Предотвратить лучше, чем лечить»: ограничьте загрузку ПО из непроверенных источников.
• «Слой защиты»: использование Gatekeeper, XProtect и MDM в сочетании с резервными копиями снижает риск потери данных.
• Храните несколько копий резервных копий на разной инфраструктуре (локально + облако) и проверяйте их целостность.

Когда стоит подумать о выплате выкупа

Выплата выкупа — это крайняя и сомнительная мера. Обязательно:

• Проконсультируйтесь с юристом и специалистами по безопасности.
• Уточните юридические и этические последствия в вашей юрисдикции.
• Помните: плата не гарантирует получение ключа или успешной расшифровки.

Что сделал Apple и Transmission

• Apple отозвала сертификат разработчика, который позволял вредоносной сборке обходить Gatekeeper, и добавила сигнатуру в XProtect.
• Команда Transmission убрала вредоносную сборку с сайта и выпустила обновлённую версию, которая, по их заявлению, автоматически удаляет рантайм‑компоненты KeRanger.

Факто-бокс

• Название: KeRanger
• Вектор: заражённый дистрибутив Transmission
• Поведение: ожидание 3 дня → соединение с C2 → шифрование файлов
• Запрашиваемая сумма: 1 bitcoin (объявленная — порядка $400 на момент инцидента)

Часто встречающиеся вопросы

Q: Как понять, что файлы зашифрованы? A: Изначально вы увидите файлы с изменёнными расширениями или потерю доступа к документам; также появятся файлы с инструкциями по выкупу.

Q: Удалит ли антивирус шифровальщик и вернёт данные? A: Антивирус может удалить активные модули, но не вернёт уже зашифрованные файлы.

Q: Можно ли предотвратить подобное в будущем? A: Да — используйте проверенные источники ПО, включайте автоматические бэкапы и внедряйте политики контроля приложений.

Рекомендации по защите и приватности

• Введите централизованный контроль установки ПО (MDM, whitelisting).
• Настройте регулярные, инкрементные и дедуплицированные резервные копии с оффлайн‑копией.
• Документируйте доступы и периодически меняйте учётные данные с двухфакторной аутентификацией.

Завершение

KeRanger продемонстрировал, что даже закрытая экосистема не застрахована от угроз, если злоумышленники используют легитимные подписи и популярное ПО. Самая надёжная защита — сочетание своевременных обновлений, проверенных источников программного обеспечения и регулярных резервных копий. Если вы обнаружите признаки заражения — действуйте быстро: изоляция хоста и удаление рантайма до начала процесса шифрования максимально повышают шанс сохранить данные.