Michal Marek En funktionel "virus" af ransomware-typen er ankommet til Mac for første gang nogensinde. Denne infektion virker ved at kryptere brugerens data, og brugeren skal derefter betale en "løsesum" til angriberne for at få deres data tilbage. Betaling foregår normalt i bitcoins, som er en garanti for usporbarhed for angribere. Kilden til infektionen var en open source-klient til bittorrent-netværket Transmissionsprojekter i version 2.90.
Den ubehagelige kendsgerning er, at et ondsindet stykke kode ringede OSX.KeRanger.A kom direkte ind i den officielle installationspakke. Installationsprogrammet havde derfor sit eget underskrevne udviklercertifikat og formåede dermed at omgå Gatekeeper, den ellers pålidelige systembeskyttelse af OS X.
Derefter kunne intet forhindre oprettelsen af de nødvendige filer, låsningen af brugerens filer og etableringen af kommunikation mellem den inficerede computer og angribernes servere via Tor-netværket. Brugere blev også omdirigeret til Tor for at betale et gebyr på én bitcoin for at låse filer op, hvor én bitcoin i øjeblikket er $400 værd.
Det er dog godt at nævne, at brugerdata er krypteret op til tre dage efter installation af pakken. Indtil da er der ingen indikation af tilstedeværelsen af en virus, og den kan kun detekteres i Activity Monitor, hvor en proces mærket "kernel_service" kører i tilfælde af infektion. For at opdage malware skal du også kigge efter følgende filer på din Mac (hvis du finder dem, er din Mac sandsynligvis inficeret):
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
Apples reaktion tog ikke lang tid, og udviklerens certifikat var allerede ugyldigt. Så når brugeren nu vil køre det inficerede installationsprogram, vil han blive kraftigt advaret om den mulige risiko. XProtect-antivirussystemet er også blevet opdateret. Han reagerede også på truslen Transmissions hjemmeside, hvor der blev sendt en advarsel om behovet for at opdatere torrent-klienten til version 2.92, som løser problemet og fjerner malwaren fra OS X. Det ondsindede installationsprogram var dog stadig tilgængeligt i næsten 48 timer, fra 4. til 5. marts.
For brugere, der tænkte på at løse dette problem ved at gendanne data via Time Machine, er den dårlige nyhed, at KeRanger, som ransomwaren kaldes, også angriber sikkerhedskopierede filer. Når det er sagt, skal brugere, der har installeret det stødende installationsprogram, reddes ved at installere den seneste version af Transmission fra projektets hjemmeside.
De, der opdaterede til 2.90 via applikationen, er ikke i fare...
Dem, der suger gennem torrents, fortjener intet andet end ransomware...
vaffanculo
Og igen den dumme fordømmelse med en lussing :(
Troede du, at torrent-protokollen kan bruges og også bruges til at distribuere sw?
Hmmm, når jeg downloader en Linux-distribution er det bedst via Torrent, hvilket den givne protokol er udviklet til i første omgang, det er en anden sag at den bliver misbrugt...