Michał Marek Funkcjonalny „wirus” typu ransomware pojawił się na komputerze Mac po raz pierwszy w historii. Infekcja ta polega na szyfrowaniu danych użytkownika, a następnie użytkownik musi zapłacić „okup” atakującym, aby odzyskać swoje dane. Płatność dokonywana jest zazwyczaj w bitcoinach, które stanowią gwarancję niewykrywalności dla atakujących. Źródłem infekcji był klient typu open source dla sieci Bittorrent Transmisja w wersji 2.90.
Nieprzyjemnym faktem jest to, że złośliwy fragment kodu tzw OSX.KeRanger.A dostał się bezpośrednio do oficjalnego pakietu instalacyjnego. Instalator miał zatem swój własny podpisany certyfikat programisty i w ten sposób zdołał ominąć Gatekeepera, skądinąd niezawodną ochronę systemu OS X.
Następnie nic nie mogło zapobiec utworzeniu niezbędnych plików, zablokowaniu plików użytkownika i nawiązaniu komunikacji pomiędzy zainfekowanym komputerem a serwerami atakujących za pośrednictwem sieci Tor. Użytkownicy zostali również przekierowani do Tora, aby uiścić opłatę w wysokości jednego bitcoina za odblokowanie plików, przy czym jeden bitcoin jest obecnie wart 400 dolarów.
Warto jednak wspomnieć, że dane użytkownika są szyfrowane aż do trzech dni od zainstalowania pakietu. Do tego czasu nic nie wskazuje na obecność wirusa i można go wykryć jedynie w Monitorze aktywności, gdzie w przypadku infekcji uruchomiony jest proces oznaczony jako „kernel_service”. Aby wykryć złośliwe oprogramowanie, poszukaj także na komputerze Mac następujących plików (jeśli je znajdziesz, prawdopodobnie Twój Mac jest zainfekowany):
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
Reakcja Apple nie trwała długo, a certyfikat dewelopera został już unieważniony. Jeśli więc użytkownik będzie chciał teraz uruchomić zainfekowany instalator, zostanie stanowczo ostrzeżony o możliwym ryzyku. Zaktualizowano także system antywirusowy XProtect. Ustosunkował się także do groźby Strona internetowa transmisji, gdzie zamieszczono ostrzeżenie o konieczności aktualizacji klienta torrent do wersji 2.92, która naprawia problem i usuwa złośliwe oprogramowanie z OS X. Jednak złośliwy instalator był nadal dostępny przez prawie 48 godzin, od 4 do 5 marca.
Dla użytkowników, którzy myśleli o rozwiązaniu tego problemu poprzez przywrócenie danych za pomocą Time Machine, złą wiadomością jest fakt, że KeRanger, jak nazywa się oprogramowanie ransomware, atakuje również pliki z kopii zapasowych. Biorąc to pod uwagę, użytkowników, którzy zainstalowali instalator powodujący błędy, należy uratować, instalując najnowszą wersję Transmission ze strony internetowej projektu.
Ci, którzy dokonali aktualizacji do wersji 2.90 za pośrednictwem aplikacji, nie są zagrożeni...
Ci, którzy wysysają torrenty, nie zasługują na nic innego jak tylko oprogramowanie ransomware...
wafelek
I znowu głupie potępienie z klapsem :(
Czy uważasz, że protokół torrent może być używany i jest również używany do dystrybucji oprogramowania?
Hmmm, jak ściągam dystrybucję Linuksa, to najlepiej przez Torrenta, bo po to w ogóle powstał dany protokół, a to, że jest nadużywany, to już inna sprawa...