ransomware-cover

Primul atac de tip ransomware funcțional pentru Mac OS X

#Noutăți
2016. 03. 07.

Ransomware este un tip de aplicație malware care mai întâi criptează datele de pe calculator pentru ca mai apoi inițiatorul atacului să solicite o „răscumpărare” în schimbul căreia să vă redea accesul la datele respective. Zilele acestea a fost înregistrat primul astfel de atac reușit pe Mac OS X.

Acest tip de atacuri a devenit comun în ultima vreme. Luna trecută un spital din Los Angeles a plătit 40 de Bitcoins (aproximativ 17.000 dolari) pentru a recăpăta acces la propriile date. Acest atac este însă primul de acest fel adresat utilizatorilor de Mac OS X.

Mai exact, este vorba despre utilizatorii Transmission, un client BitTorrent open-source, care au fost ținta acestui atac. Nu se știe încă cum s-a reușit, dar atacatorii au reușit să spargă site-ul oficial al companiei și au înlocuit fișierul .dmg care conține kit-ul de instalare al soft-ului cu unul care conținea codul aplicației ransomware. Aceștia au folosit și semnătura Apple Developer a dezvoltatorilor pentru a păcăli funcționalitatea gatekeeper-ului din OS X. Odată instalată, aplicația „ransomware” a încercat să cripteze datele utilizatorilor, urmând să le ceară acestora să achite 1 Bitcoin (aproximativ 400 dolari) pentru a primi soluția de decriptare a datelor. Versiunea Transmission 2.90 este cea care a fost infectată, iar aplicația ransomware a fost denumită „KeRanger”.

fig1-500x284

Atacul a fost descoperit și investigat de cei de la firma de cercetare în domeniul securității datelor Palo Alto Networks. Aceștia spun că aplicația de ransomware rămâne inactivă trei zile de la instalare pentru ca abia apoi să se conecteze la serverul atacatorilor și să înceapă criptarea datelor. Pe site-ul oficial Transmission a fost actualizat kit-ul de instalare cu unul valid, reprezentând versiunea Transmission 2.92. De asemenea, cei de la Apple au revocat certificatul de dezvoltator care a fost compromis.

Pe site-ul Transmission utilizatorii sunt sfătuiți ca, în cazul în care au instalat deja versiunea compromisă 2.90, să facă actualizarea la versiunea 2.92. De asemenea, cei de la Palo Alto au publicat pe site-ul lor o procedură prin care se poate verifica dacă sistemul a fost compromis de malware-ul respectiv și apoi cum se poate elimina acesta.

1. Folosind fie Terminal-ul, fie Finder-ul verificați dacă există fișierul /Applications/Transmission.app/Contents/Resources/General.rtf sau /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf.
Dacă oricare dintre acestea există, aplicația Transmission este infectată și vă sugerăm să ștergeți această versiune a aplicației.
2. Folosind aplicația „Activity Monitor” care este preinstalată în OS X, verificați dacă aveți un proces numit „kernel_service” care rulează. Dacă există, verificați de două ori procesul, selectați „Open Files and Ports” și verificați dacă există un fișier cu numele /Users//Library/kernel_service (Figura 1). Dacă așa este, acesta este procesul KeRanger-lui. Vă sugerăm să-l închideți folosind „Quit -> Force Quit”.
3. După ce ați parcurs acești pași, vă recomandăm de asemenea să verificați dacă fișierele „.kernel_pid”, „.kernel_time”, „.kernel_complete” sau „kernel_service” există în directorul ~/Library. Dacă există, ar trebui să le ștergeți.

Fig 1
Fig 1

Dacă nu ați reușit să rezolvați problema, aveţi şi varianta de a reveni la o versiune a backup-ului din Time Machine de dinaintea instalării ransomware-ului.

sursa: Palo Alto Networks, The Verge