Apple otrzymuje pierwszą dawkę Ransomware jako 6 500 użytkowników Hit z Encryption Virus

Jeśli w piątek byłeś jednym z wielu pechowców, którzy ściągnęli i zainstalowali nową wersję Transmisji, aplikację do pobierania torrentów, dziś jest twój dzień rozliczenia: Twoje informacje i Twój dostęp do twojego filara mogą zostać wzięte pod uwagę okup.

Użytkownicy komputerów Mac nigdy wcześniej nie byli narażeni na w pełni zrealizowane oprogramowanie ransomware, i nie bez powodu: produkty Apple były względnymi twierdzami przeciwko wirusom. Ale ten instalator ukrył szkodliwy program, KeRanger, i dał mu trzydniowy okres spoczynku. Transmisja jest jednym z bardziej popularnych, uproszczonych i intuicyjnych klientów BitTorrenta i bardzo ułatwia użytkownikom pobieranie torrentów, czy to torrentów albumów, programów, filmów itp.

Tego pamiętnego trzeciego dnia - który ma miejsce dzisiaj - ci, którzy zainstalowali Transmission w wersji 2.90 i cieszyli się trzema radosnymi dniami uciążliwej dobroci, spotkało się z nieuprzejmym żądaniem okupu o 2 w nocy. Czas wschodni: KeRanger zaszyfrował zawartość nieszczęśliwych komputerów Mac i zażądał 1 bitcoina - równoważnego dziś około 409 USD - za odszyfrowanie wspomnianych danych. Dzięki zaszyfrowaniu ponad 300 różnych typów rozszerzeń plików oszczędzono bardzo niewiele.

John Clay na Transmission dał Odwrotność pełniejsza historia:

„W ciągu następnych kilku dni opublikujemy powiadomienie z większą ilością informacji, ale w tym momencie najlepiej zgadujemy, że pobrano około 6500 zainfekowanych obrazów dysków (dziesiątki tysięcy legalnych pobrań tej wersji wcześniej). Spośród nich naszym założeniem jest to, że wielu nie było w stanie uruchomić zainfekowanego pliku z powodu szybkiego wycofania przez Apple certyfikatu użytego do podpisania pliku binarnego, a także aktualizacji definicji XProtect. Czekamy na potwierdzenie od Apple w tej sprawie.

„Mechanizm automatycznej aktualizacji Sparkle nie został naruszony i nie udało się go zaktualizować do zainfekowanego pliku binarnego, ponieważ skrót był inny. Co więcej, nasza zewnętrzna pamięć podręczna (CacheFly) nie została naruszona, co łączy się z wieloma witrynami aktualizacji oprogramowania (MacUpdate i in.). Potwierdziliśmy również, że użytkownik z zainfekowaną wersją może z powodzeniem automatycznie aktualizować do legalnych wersji 2.91 lub 2.92, a 2.92 aktywnie próbuje usunąć szkodliwe oprogramowanie. ”

Jeśli używasz transmisji, oto jak sprawdzić, czy Twój komputer został zainfekowany:

• Otwórz wbudowany Monitor aktywności w Applications / Utilities.
• W zakładce „Disk” wyszukaj „kernel_service”. („Zadanie kernel_task” jest nieszkodliwe i stanowi istotną część OSX; jeśli widzisz, że ten proces działa, nie panikuj).

List okupowy, który jest dziwnie grzeczny, biorąc pod uwagę niewątpliwie żałosne dusze jego twórców, jest widoczny tutaj. Zaczyna się: „Twój komputer został zablokowany, a wszystkie twoje pliki zostały zaszyfrowane za pomocą szyfrowania RSA 2048-bitowego”.

Transmisja szybko zareagowała i zaktualizowała instalatora, aby wykluczyć i rzekomo usunąć KeRanger z zainfekowanych komputerów.

Jeden z badaczy, który odkrył oprogramowanie ransomware - Claud Xiao - aktywnie rozpowszechniał to słowo:

Ludzie, to jedyny raz, kiedy proszę o pomoc w rozpowszechnianiu wiadomości. #KeRanger został zaprojektowany, aby rozpocząć szyfrowanie w następny poniedziałek rano!

- Claud Xiao (@claud_xiao) 6 marca 2016 r

# Transmisja właśnie pchnęła aktualizację 2.92, która zawiera kod do wykrywania i usuwania oprogramowania ransomware #KeRanger. Zaktualizuj go przed poniedziałkiem 11:00.

- Claud Xiao (@claud_xiao) 6 marca 2016 r

Ostrzegał także wszystkich aktualizujących program:

Firma Apple również odpowiedziała, usuwając tę ​​wersję certyfikatu instalatora - certyfikat, który pozwolił oprogramowaniu ransomware ominąć normalnie rygorystyczne GateKeeper i XProtect, które chronią komputery Mac.

Palo Alto Networks ujawniło naruszenie bezpieczeństwa. Pełny raport i przewodnik dotyczący samoobrony znajdziesz tutaj.