KeRanger

Pierwszy Ransomware dla Mac OS X atakuje!

Zazwyczaj wiele wpadek bezpieczeństwa omijały użytkowników desktopów Mac OS X. Nie w tym przypadku! Pierwszy globalny Ransomware atakuje użytkowników systemu OS X.
Ransomware jest obecnie najszybciej rosnącym zagrożeniem dla naszych komputerów. Polega on na szyfrowaniu dokumentów lub dysku na zainfekowanej maszynie, a następnie prosi ofiary o wpłacanie okupu w postaci cyfrowych walut jak np bitcoin by rozszyfrować dane. Ransomware ma na celowniku telefony komórkowe oraz system operacyjny Windows już od jakiegoś czasu. Uzytkownicy OS X’a nie musieli się martwić aż do tej pory.

Specjaliści ds. bezpieczeństwa z „Palo Alto Networks” twierdzą, że odnaleźli pierwszą instancję Ransomware w sieci o nazwie „KeRanger” atakującą użytkowników komputerów Apple.
KeRanger, który pojawił się w Piątek, został załączony do popularnej aplikacji open-source „Transmision”. Jest to popularny klient sieci bit-torrent z milionami użytkowników.

Jak działa KeRanger?
KeRanger 2

Gdy ofiara zainstaluje zainfekowaną aplikację, KeRanger załacza się do części systemu oraz rozpoczyną szyfrowanie dysku zawierającego dokumenty, zdjęcia, filmy, archiwa emaili oraz bazy danych – po około 3 dniach. Następnie KeRanger prosi ofiarę o wpłacenie 1 Bitcoina(około 1600zł) aby pozwolić jej odszyfrować swój dysk oraz odzyskać utracone dane.
Malware nakłada 72h blokadę na okno wyświetlające komunikat aż do momentu dokonania płatności. Wciąż nie jest jeszcze wiadomo w jaki sposób hakerzy zdobyli dostęp do strony oraz podmienili pliki aplikacji. Podejrzewa się że przyczyną mogł być brak szyfrowanego połączenia HTTPS.

KeRanger lock screen

Jak się bronić przed KeRanger’em?

Większość dostępnych na rynku antywirusów już zaktualizowało swoje bazy wirusów/malware i skutecznie potrafią rozpoznać ten malware. „Palo Alto Networks” sugerują aby sprawdzić czy w systemie znajdują się pliki w podanych poniżej ścieżkach:
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
Jeżeli którykolwiek podany powyżej plik istnieje prawdopodobnie aplikacja „Transmission” jest zainfekowana nowym ransomware.
Malware ten również tworzy procesy o nazwie kernel_service, kernel_time, kernel_pid oraz kernel_komplete, które można „zabić” poleceniem „kill”. Deweloperzy aplikacji „Transmission” uporali się już z usunięciem zainfekowanych plików oraz udostępnili wersję 2.92. Póki co nie słychać doniesień o infekcjach innych aplikacji.