Michał Marek Na Mac vůbec poprvé dorazil funkční „virus“ typu ransomware. Tato nákaza funguje tak, že zašifruje data uživatele a ten následně pro jejich odemčení musí útočníkům zaplatit „výkupné“, aby svá data získal zpět. K platbě většinou dochází v bitcoinech, které jsou pro útočníky zárukou nevysledovatelnosti. Zdrojem nákazy byl open-sourcový klient pro bittorentovou síť Transmisja w wersji 2.90.
Nepříjemnou skutečností je, že škodlivý kus kódu nazvaný OSX.KeRanger.A se dostal přímo do oficiálního instalačního balíku. Instalátor měl tedy svůj podepsaný vývojářský certifikát a podařilo se mu tak obejít i Gatekeeper, jindy spolehlivou systémovou ochranu OS X.
Poté již nic nemohlo zabránit vytvoření potřebných souborů, uzamčení souborů uživatele a prostřednictvím sítě Tor také navázání komunikace mezi nakaženým počítačem a servery útočníků. Na Tor byli uživatelé rovněž přesměrováni, aby zde zaplatili poplatek jednoho bitcoinu za odemčení souborů, přičemž jeden bitcoin má v současné době hodnotu 400 dolarů (10 tisíc korun).
Dobré je ale zmínit, že k zašifrování dat uživatele dochází vždy až tři dny po instalaci balíčku. Do té doby přítomnosti viru nic nenasvědčuje a odhalit ho lze jedině v Monitoru aktivity, kde v případě nákazy probíhá proces s označením „kernel_service“. Pro odhalení malwaru hledejte na svém Macu také následující soubory (pokud je naleznete, pravděpodobně je váš Mac nakažen):
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
Reakce Applu na sebe nenechala dlouho čekat a vývojářský certifikát byl již zneplatněn. Když tedy nyní bude chtít uživatel nakažený instalátor spustit, bude důrazně varován před možným rizikem. Zaktualizován byl rovněž antivirový systém XProtect. Na hrozbu zareagoval i web nástroje Transmission, kde bylo zveřejněno upozornění na nutnou aktualizace torrentového klienta na verzi 2.92, která problém řeší a malware z OS X odstraňuje. Škodlivý instalátor byl ale i tak k dispozici takřka 48 hodin, a to od 4. do 5. března.
Pro uživatele, které napadlo tento problém řešit obnovou dat přes Time Machine, je špatnou zprávou fakt, že KeRanger, jak se ransomware jmenuje, útočí i právě na zálohované soubory. Jak již bylo řečeno, uživatele, kteří si závadný instalátor nainstalovali, by měla zachránit instalace nejnovější verze Transmission z webové stránky projektu.
Ti kdo aktualizovali na 2.90 přes aplikaci nejsou v ohrožení…
Kdo sosá přes torrenty si nic jiného než ransomware nezaslouží…
wafelek
A zase to hloupé odsuzování šmahem :(
Napadlo vás, že torrent protokol lze používat a také je používán pro distribuci sw?
Hmmm, když stahuji linuxovou distribuci, tak nejlépe přes Torrent, pro což byl daný protokol i vyvinut v první řadě, to že je zneužíván je věc jiná…