Il 4 marzo 2016, Palo Alto Networks, una nota società di sicurezza, ha pubblicato la sua scoperta di KeRanger ransomware che infettava Transmission, il famoso client Mac BitTorrent. Il malware reale è stato trovato all'interno dell'installer per Transmission versione 2.90.
Il sito Web Transmission ha rapidamente eliminato l'installer infetto e sta sollecitando chiunque utilizzi Transmission 2.90 per l'aggiornamento alla versione 2.92, che è stata verificata da Transmission per essere priva di KeRanger.
La trasmissione non ha discusso di come il programma di installazione infetto possa essere ospitato sul proprio sito Web, né Palo Alto Networks è stato in grado di determinare in che modo il sito di trasmissione è stato compromesso.
KeRanger Ransomware
Il ransomware KeRanger funziona come fa la maggior parte dei ransomware, crittografando i file sul tuo Mac e quindi richiedendo il pagamento; in questo caso, sotto forma di bitcoin (attualmente valutato intorno ai $ 400) per fornire la chiave di crittografia per recuperare i file.
Il ransomware KeRanger viene installato dal programma di installazione della trasmissione compromesso. Il programma di installazione utilizza un certificato per sviluppatori di app per Mac valido, che consente all'installazione del ransomware di superare la tecnologia Gatekeeper di OS X, che impedisce l'installazione di malware sul Mac.
Una volta installato, KeRanger imposta la comunicazione con un server remoto sulla rete Tor. Va poi a dormire per tre giorni. Una volta risvegliato, KeRanger riceve la chiave di crittografia dal server remoto e procede alla crittografia dei file sul Mac infetto.
I file crittografati includono quelli nella cartella / Users, il che risulta nella maggior parte dei file utente sul Mac infetto che viene crittografato e non utilizzabile. Inoltre, Palo Alto Networks segnala che la cartella / Volumes, che contiene il punto di montaggio per tutti i dispositivi di archiviazione collegati, sia locali che sulla rete, è anche un obiettivo.
In questo momento, ci sono informazioni miste sui backup di Time Machine che vengono crittografati da KeRanger, ma se la cartella / Volumes è mirata, non vedo ragioni per cui un'unità di Time Machine non venga crittografata. La mia ipotesi è che KeRanger sia un così nuovo pezzo di ransomware che i rapporti misti su Time Machine sono semplicemente un bug nel codice ransomware; a volte funziona, ea volte no.
Apple reagisce
Palo Alto Networks ha segnalato il ransomware KeRanger sia a Apple che a Transmission. Entrambi hanno reagito rapidamente; Apple ha revocato il certificato per sviluppatori di applicazioni Mac utilizzato dall'app, consentendo a Gatekeeper di interrompere ulteriori installazioni della versione corrente di KeRanger. Apple ha inoltre aggiornato le firme XProject, consentendo al sistema di prevenzione malware di OS X di riconoscere KeRanger e impedire l'installazione, anche se GateKeeper è disabilitato, o è configurato per un'impostazione a bassa sicurezza.
Trasmissione rimossa Trasmissione 2.90 dal loro sito Web e rapidamente ristampato una versione pulita di trasmissione, con un numero di versione di 2.92. Possiamo anche presumere che stiano esaminando il modo in cui il loro sito Web è stato compromesso e adottando misure per evitare che si ripetano.
Come rimuovere KeRanger
Ricorda che il download e l'installazione della versione infetta dell'app Transmission è attualmente l'unico modo per acquisire KeRanger. Se non usi la trasmissione, attualmente non devi preoccuparti di KeRanger.
Finché KeRanger non ha ancora crittografato i tuoi file Mac, hai tempo per rimuovere l'app e impedire che si verifichi la crittografia. Se i file del tuo Mac sono già crittografati, non c'è molto che puoi fare tranne che sperare che i tuoi backup non siano stati crittografati. Questo indica un'ottima ragione per avere un'unità di backup che non è sempre connessa al tuo Mac. Ad esempio, uso Carbon Copy Cloner per creare un clone settimanale dei dati del mio Mac. L'alloggiamento dell'unità che clone non è montato sul mio Mac fino a quando non è necessario per il processo di clonazione.
Se fossi imbattuto in una situazione di ransomware, avrei potuto recuperare recuperando dal clone settimanale. L'unica penalità per l'utilizzo del clone settimanale è di avere file che potrebbero essere fino a una settimana non aggiornati, ma è molto meglio che pagare un crudele nefasto un riscatto.
Se ti trovi nella sfortunata situazione in cui KeRanger ha già realizzato la sua trappola, non conosco altra via d'uscita se non pagare il riscatto o ricaricare OS X e ricominciare da capo con un'installazione pulita.
Rimuovi trasmissione
Nel Finder, vai a / Applicazioni.
Trova l'app di trasmissione, quindi fai clic con il pulsante destro del mouse sull'icona.
Dal menu a comparsa, selezionare Mostra contenuto pacchetto.
Nella finestra del Finder che si apre, vai a / Contents / Resources /.
Cerca un file con l'etichetta General.rtf.
Se il file General.rtf è presente, si ha una versione infetta di Transmission installata. Se l'app di trasmissione è in esecuzione, esci dall'app, trascinala nel cestino e quindi svuota il cestino.
Rimuovi KeRanger
Avvia Activity Monitor, situato in / Applicazioni / Utility.
In Activity Monitor, seleziona la scheda CPU.
Nel campo di ricerca di Activity Monitor, inserisci quanto segue:
kernel_service
e quindi premere Invio.
Se il servizio esiste, verrà elencato nella finestra di Monitoraggio attività.
Se presente, fare doppio clic sul nome del processo in Monitoraggio attività.
Nella finestra che si apre, fai clic sul pulsante Apri file e porte.
Prendere nota del nome del percorso kernel_service; sarà probabilmente qualcosa di simile:
/ Utenti / homefoldername / Library / kernel_service
Seleziona il file, quindi fai clic sul pulsante Esci.
Ripeti il precedente per il kernel_time e kernel_complete nomi di servizio.
Anche se esci dai servizi in Activity Monitor, devi anche eliminare i file dal tuo Mac. Per farlo, usa i nomi di percorso dei file che hai preso nota per navigare nei file kernel_service, kernel_time e kernel_complete. (Nota: potresti non avere tutti questi file presenti sul tuo Mac.)
Poiché i file che devi eliminare si trovano nella cartella Libreria della tua cartella home, dovrai rendere visibile questa cartella speciale. È possibile trovare le istruzioni su come eseguire questa operazione nell'articolo OS X si nasconde la cartella della libreria.
Una volta che hai accesso alla cartella Libreria, elimina i file sopraindicati trascinandoli nel cestino, quindi facendo clic con il pulsante destro sull'icona del cestino e selezionando Svuota cestino.
