Apple получава първата си доза от Ransomware, като 6500 потребители се удариха с вируса за шифроване

Ако сте били един от нещастните в петък да изтеглите и инсталирате новата версия на Transmission, приложение за изтегляне на торенти, днес е денят ви на изчисление: Вашата информация, както и вашият достъп до вашия стълб на себе си, може да бъде поставен за откуп.

Потребителите на Mac никога преди не са били изложени на напълно реализиран рансъмуер и поради добра причина: продуктите на Apple са относителни крепости срещу вируси. Но този инсталатор прикри злонамерената програма KeRanger и му даде тридневен период на латентност. Предаването е един от най-популярните, опростени и интуитивни клиенти на BitTorrent и го прави много лесно за потребителите да изтеглят торенти, независимо дали са торенти на албуми, програми, филми или др.

На този съдбоносен трети ден - който се случва днес - тези, които инсталираха Предаване версия 2.90 и се наслаждаваха на три тържествени дни на силна доброта, бяха посрещнати с груба бележка за откуп в 2 часа. Източно време: KeRanger криптира съдържанието на Mac-овете на нещастниците и изисква 1 bitcoin - еквивалент, днес, до около $ 409 - за декриптиране на тези данни. И с над 300 различни вида разширения на файлове криптирани, много малко е бил пощаден.

Джон Клей от Transmission даде обратен по-пълна история:

„Ще публикуваме известие в следващите няколко дни с повече информация, но най-добре е да предположим, че са изтеглени около 6 500 заразени образа на диска (от десетки хиляди легитимни изтегляния на тази версия преди). От тях, нашата презумпция е, че много от тях не успяха да стартират заразения файл, тъй като Apple бързо анулира сертификата, използван за подписването на двоичния файл, както и актуализирането на дефинициите на XProtect. Очакваме потвърждение от Apple за това.

Механизмът за автоматична актуализация на Sparkle не е компрометиран и няма да успее да актуализира заразения двоичен файл, тъй като хешът е различен. Освен това, кешът на трета страна (CacheFly) не е компрометиран, което е мястото, където много уебсайтове за обновяване на софтуера се свързват към (MacUpdate et al). Потвърдихме също така, че потребител със заразена версия може успешно да се актуализира автоматично до законните версии на 2.91 или 2.92, като 2.92 активно се опитва да премахне зловредния софтуер."

Ако използвате Предаване, ето как да проверите дали вашият компютър е заразен:

• Отворете вградения монитор за активност в Applications / Utilities.
• В раздела „Диск“ потърсете „kernel_service“. ("Kernel_task" е безвреден и е жизненоважна част от OSX; ако видите, че този процес се изпълнява, не се паникьосвайте.)

Отметката за откуп, която е странно любезна по отношение на несъмнено жалко души на нейните създатели, е видима тук. Тя започва: „Вашият компютър е заключен и всичките ви файлове са криптирани с 2048-битово RSA криптиране.“

Transmission отговори бързо и актуализира инсталатора си, за да изключи и твърди, че премахва KeRanger от заразените компютри.

Един от изследователите, открил рансъмуера - Клод Ксиао - активно разпространяваше думата:

Хора, това е единственият път, когато искам вашата помощ за разпространението на новините. #KeRanger е проектиран да започне криптиране в следващия понеделник сутрин!

- Клод Сяо (@claud_xiao) 6 март 2016 г.

#Transmission просто натиснат 2.92 актуализация, която включва код за откриване и премахване на #KeRanger рансъмуер. Актуализирайте я преди понеделник от 11:00 часа.

- Клод Сяо (@claud_xiao) 6 март 2016 г.

Той също така предупреди всички, които актуализираха програмата:

Apple също отговори, като премахна тази версия на сертификата на инсталатора - сертификат, който позволява на рансъмуера да заобиколи обичайно строгият GateKeeper и XProtect, които поддържат Mac-ите сигурни.

Palo Alto Networks разкри нарушението на сигурността. За пълния доклад и ръководството за самозащита погледнете тук.