Apple dostane svou první dávku Ransomware jako 6.500 uživatelů Hit s šifrovacím virem

Pokud jste byli v pátek jedním z nešťastných lidí, kteří si stáhli a nainstalovali novou verzi Transmise, aplikaci pro stahování torrentů, dnes je vaším dnem zúčtování: Vaše informace a váš přístup k vašemu sloupu sebe sama mohou být vyřazeny výkupné.

Uživatelé Mac nikdy předtím nebyli vystaveni plně realizovanému ransomware a z dobrého důvodu: Apple produkty byly relativní pevností proti virům. Ale tento instalátor zahalil nebezpečný program KeRanger a dal mu třídenní období klidu. Přenos je jedním z nejoblíbenějších, nejjednodušších a intuitivních klientů BitTorrent a umožňuje uživatelům snadno stahovat torrenty, ať už jsou to torrenty alb, programů, filmů nebo atd.

O tom osudném třetím dni - který se stane dnes - ti, kdo instalovali Transmission verze 2.90 a užili si tři jubilentní dny torrentu dobroty, se setkali s drsným výkupným ve 14:00. Východní čas: KeRanger zašifroval obsah nešťastných 'Maců a požadoval 1 bitcoin - ekvivalent, dnes, na přibližně 409 dolarů - na dešifrování uvedených dat. A s více než 300 různými typy šifrovaných souborů bylo ušetřeno jen velmi málo.

John Clay na Transmission dal Inverzní plnější příběh:

„V nejbližších dnech zveřejníme oznámení s více informacemi, ale v tomto bodě je nejlepší odhadnout, že bylo staženo přibližně 6 500 obrazů infikovaných disků (z desítek tisíců legitimních stažení této verze). Naším předpokladem je, že mnoho z nich nebylo schopno spustit infikovaný soubor kvůli tomu, že Apple rychle zrušil certifikát používaný k podpisu binárního kódu a také aktualizoval definice XProtect. Čekáme na potvrzení od Apple.

„Mechanismus automatické aktualizace Sparkle nebyl kompromitován a nebyl by aktualizován na infikovaný binární soubor, protože hash byl jiný. Kromě toho, naše cache třetí strany (CacheFly) nebyla ohrožena, což je místo, kde mnoho webových stránek aktualizace softwaru odkazují na (MacUpdate et al). Potvrdili jsme také, že uživatel s infikovanou verzí může úspěšně automaticky aktualizovat na legitimní verze 2.91 nebo 2.92 s aktivním pokusem o odstranění škodlivého softwaru.

Pokud používáte Transmission, zde je návod, jak zkontrolovat, zda byl váš počítač infikován:

• Otevřete vestavěný Activity Monitor v Applications / Utilities.
• Pod záložkou „Disk“ vyhledejte „kernel_service“. („Kernel_task“ je neškodný a důležitou součástí OSX; pokud vidíte, že proces běží, nepanikařte.)

Viditelná je i výkupná listina, která je podivně zdvořilá, protože její tvůrci nepochybně litují duší. Začíná „Váš počítač byl uzamčen a všechny vaše soubory byly zašifrovány 2048bitovým šifrováním RSA.“

Přenos odpovídal rychle a aktualizoval svůj instalační program, aby vyloučil a údajně odstranil KeRanger z infikovaných počítačů.

Jeden z výzkumníků, kteří objevili ransomware - Claud Xiao - aktivně šířil slovo:

Lidé, toto je jediná doba, kdy jsem požádal vaši pomoc o šíření zpráv. #KeRanger je navržen tak, aby zahájil šifrování příští pondělí ráno!

- Claud Xiao (@ claud_xiao) 6. března 2016

#Transmission právě stiskl aktualizaci 2.92, která obsahuje kód pro detekci a odstranění #KeRanger ransomware. Aktualizujte ji před pondělí 11:00.

- Claud Xiao (@ claud_xiao) 6. března 2016

Varoval také všechny, kteří program aktualizovali:

Apple také odpověděl tím, že odstranil tuto verzi certifikace instalátoru - certifikace, která dovolila ransomware obejít normálně přísný GateKeeper a XProtect, které udržují Macs bezpečný.

Palo Alto Networks odhalila narušení bezpečnosti. Pro úplnou zprávu a průvodce vlastní ochrany se podívejte zde.