Analisado por: Francis Xavier Antazo   

 Plataforma:

OSX

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet, Caiu por outro malware

Para obter uma visão rápida e abrangente do comportamento deste Trojan, consulte o Diagrama de Ameaças abaixo.

Ele se conecta a determinados sites da Web para enviar e receber informações.

  Detalhes técnicos

Tipo de compactação: 1269584 bytes
Tipo de arquivo: Mach-O
Compresión de archivo UPX
Residente na memória: Sim
Carga útil: Encrypts files

Instalao

Ele deixa os seguintes arquivos:

  • ~/Library/.kernel_complete
  • ~/Library/.kernel_time
  • ~/Library/.kernel_pid

Deixa os seguintes arquivos de componente:

  • ~/Library/kernel_service (detected as Ransom_KeRanger.A)

Outros detalhes

Ele se conecta ao seguinte site da Web para enviar e receber informações:

  • {BLOCKED}6kvohlkcml.onion.link
  • {BLOCKED}6kvohlkcml.{BLOCKED}n.nu
  • {BLOCKED}mea723xyaz.{BLOCKED}n.link
  • {BLOCKED}mea723xyaz.{BLOCKED}n.nu
  • {BLOCKED}ok7oz5kjoc.{BLOCKED}n.link
  • {BLOCKED}k7oz5kjoc.{BLOCKED}n.nu

Ele renomeia arquivos criptografados usando os seguintes nomes:

  • {original filename}.encrypted

  Solução

Mecanismo de varredura mínima: 9.800

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como RANSOM_KERANGER.A Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


Participe da nossa pesquisa!