Michal Marek Voor het eerst is er een functioneel ransomware-virus op de Mac terechtgekomen. Deze infectie werkt door de gegevens van de gebruiker te versleutelen, en de gebruiker moet vervolgens een “losgeld” betalen aan de aanvallers om hun gegevens terug te krijgen. Betaling gebeurt veelal in bitcoins, wat een garantie is voor onvindbaarheid voor aanvallers. De bron van de infectie was een open-sourceclient voor het bittorrent-netwerk transmissie in versie 2.90.
Het onaangename feit is dat er een kwaadaardig stukje code wordt aangeroepen OSX.KeRanger.A rechtstreeks in het officiële installatiepakket terechtgekomen. De installer beschikte daardoor over een eigen ondertekend ontwikkelaarscertificaat en wist zo Gatekeeper, de overigens betrouwbare systeembescherming van OS X, te omzeilen.
Daarna kon niets het aanmaken van de benodigde bestanden, het vergrendelen van de bestanden van de gebruiker en het tot stand brengen van communicatie tussen de geïnfecteerde computer en de servers van de aanvallers via het Tor-netwerk verhinderen. Gebruikers werden ook doorgestuurd naar Tor om een vergoeding van één bitcoin te betalen om bestanden te ontgrendelen, waarbij één bitcoin momenteel $400 waard is.
Wel is het goed om te vermelden dat gebruikersgegevens tot drie dagen na installatie van het pakket versleuteld worden. Tot die tijd is er geen indicatie voor de aanwezigheid van een virus en kan het alleen worden gedetecteerd in de Activity Monitor, waar een proces met de naam "kernel_service" wordt uitgevoerd in geval van infectie. Om malware te detecteren, zoekt u ook naar de volgende bestanden op uw Mac (als u ze aantreft, is uw Mac waarschijnlijk geïnfecteerd):
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
De reactie van Apple liet niet lang op zich wachten en het certificaat van de ontwikkelaar was al ongeldig verklaard. Dus wanneer de gebruiker nu het geïnfecteerde installatieprogramma wil uitvoeren, wordt hij sterk gewaarschuwd voor het mogelijke risico. Het XProtect-antivirussysteem is ook bijgewerkt. Hij reageerde ook op de dreiging Transmissie-website, waar een waarschuwing werd geplaatst over de noodzaak om de torrent-client bij te werken naar versie 2.92, waarmee het probleem wordt opgelost en de malware uit OS X wordt verwijderd. Het kwaadaardige installatieprogramma was echter nog bijna 48 uur beschikbaar, van 4 tot 5 maart.
Voor gebruikers die dachten dit probleem op te lossen door gegevens te herstellen via Time Machine, is het slechte nieuws het feit dat KeRanger, zoals de ransomware heet, ook back-upbestanden aanvalt. Dat gezegd hebbende, zouden gebruikers die het overtredende installatieprogramma hebben geïnstalleerd, gered moeten worden door de nieuwste versie van Transmission te installeren van de projectwebsite.
Degenen die via de applicatie hebben geüpdatet naar 2.90 lopen geen risico...
Degenen die torrents zuigen verdienen niets anders dan ransomware...
Wauw
En weer die stomme veroordeling met een klap :(
Dacht je dat het torrent-protocol gebruikt kan worden en ook gebruikt wordt om sw te distribueren?
Hmmm, als ik een Linux-distributie download, kan dat het beste via Torrent, waar het gegeven protocol in de eerste plaats voor is ontwikkeld, het feit dat er misbruik van wordt gemaakt is een andere zaak...