Apple dobiva svoju prvu dozu od Ransomware kao 6.500 korisnika hit s enkripcijom virus

Ako ste bili jedan od nesretnih ljudi koji su u petak preuzeli i instalirali novu verziju Transmissiona, aplikacije za preuzimanje torrent-a, danas je vaš dan obračuna: Vaše informacije i vaš pristup stupu sebe, mogu se postaviti za otkupnina.

Mac korisnici nikada prije nisu bili izloženi u potpunosti realiziranom Ransomwareu, a iz dobrog razloga: Appleovi proizvodi bili su relativno uporišta protiv virusa. Ali ovaj je instalater prikrio zlonamjerni program, KeRanger, i dao mu trodnevni period mirovanja. Prijenos je jedan od popularnijih, jednostavnijih i intuitivnijih BitTorrent klijenata i korisnicima olakšava preuzimanje torrenta, bilo da se radi o torrentima albuma, programa, filmova ili itd.

Toga sudbonosnog trećeg dana - koji se danas događa - oni koji su instalirali Transmisiju verzije 2.90 i uživali u tri dvodnevna dana bujne dobrote susreli su se s grubom otkupninom u 14 sati. Istočno vrijeme: KeRanger je šifrirao sadržaj nesretnih Macova i zahtijevao 1 bitcoin - ekvivalent, danas, oko 409 $ - za dešifriranje tih podataka. A s preko 300 različitih vrsta ekstenzija datoteka šifrirano, vrlo je malo pošteđeno.

John Clay u Transmissionu dao je Inverzan puna priča:

U sljedećih nekoliko dana objavit ćemo obavijest s više informacija, ali u ovom trenutku najbolje možemo pretpostaviti da je preuzeto približno 6.500 zaraženih slika diska (od nekoliko desetaka tisuća legitimnih preuzimanja ove verzije). Od njih, naša pretpostavka je da mnogi nisu mogli pokrenuti zaraženu datoteku jer je Apple brzo opozvao certifikat koji se koristi za potpisivanje binarne datoteke, kao i ažuriranje XProtect definicija. Čekamo potvrdu od Applea o tome.

„Mehanizam automatskog ažuriranja Sparklea nije ugrožen i ne bi se ažurirao na zaraženi binarni sustav jer je hash bio različit. Nadalje, predmemoriranje treće strane (CacheFly) nije ugroženo, na što se povezuju mnoge web stranice s ažuriranjem softvera (MacUpdate et al). Potvrdili smo i da korisnik sa zaraženom verzijom može uspješno automatski ažurirati legitimna izdanja od 2,91 ili 2,92, a 2,92 aktivno pokušava ukloniti zlonamjerni softver."

Ako koristite Prijenos, evo kako provjeriti je li vaše računalo zaraženo:

• Otvorite ugrađeni Activity Monitor u Applications / Utilities.
• Na kartici “Disk” potražite “kernel_service”. ("Kernel_task" je neškodljiv i vitalni dio OSX-a; ako vidite da se taj proces izvodi, nemojte paničariti.)

Ovdje se može vidjeti otkupnina, koja je neobično pristojna s obzirom na nedvojbeno žalosne duše njezinih stvaralaca. Počinje: "Vaše je računalo zaključano i sve vaše datoteke sic su šifrirane pomoću 2048-bitnog RSA šifriranja."

Transmission je brzo odgovorio i ažurirao svoj instalacijski program kako bi isključio i navodno uklonio KeRanger s zaraženih računala.

Jedan od istraživača koji je otkrio otkupninu - Claud Xiao - aktivno je širio riječ:

Ljudi, ovo je jedini put kada tražim vašu pomoć za širenje vijesti. #KeRanger je dizajniran za početak enkripcije na sljedeći ponedjeljak ujutro!

- Claud Xiao (@claud_xiao) 6. ožujka 2016

#Transmission je upravo pokrenuo 2.92 ažuriranje koje uključuje kod za otkrivanje i uklanjanje #KerRanger Ransomwarea. Ažurirajte ga prije ponedjeljka u 11:00.

- Claud Xiao (@claud_xiao) 6. ožujka 2016

Također je upozorio sve koji su ažurirali program:

Apple je odgovorio i uklanjanjem verzije instalacijskog certifikata - certifikatom koji je omogućio Ransomwareu zaobilaženje uobičajenih strogih GateKeepera i XProtecta koji osiguravaju Macove sigurnost.

Palo Alto Networks izložio je kršenje sigurnosti. Potpuno izvješće i vodič za samozaštitu potražite ovdje.