Michal Marek Ett fungerande "virus" av ransomware-typ har kommit till Mac för första gången någonsin. Denna infektion fungerar genom att kryptera användarens data, och användaren måste sedan betala en "lösensumma" till angriparna för att få tillbaka sina data. Betalning sker vanligtvis i bitcoins, vilket är en garanti för att angripare inte kan spåras. Källan till infektionen var en öppen källkodsklient för bittorrent-nätverket Växellåda i version 2.90.
Det obehagliga faktum är att en skadlig kod anropade OSX.KeRanger.A kom direkt in i det officiella installationspaketet. Installatören hade därför ett eget signerat utvecklarcertifikat och lyckades därmed kringgå Gatekeeper, det annars pålitliga systemskyddet för OS X.
Efter det kunde ingenting hindra skapandet av de nödvändiga filerna, låsningen av användarens filer och upprättandet av kommunikation mellan den infekterade datorn och angriparnas servrar via Tor-nätverket. Användare omdirigerades också till Tor för att betala en avgift på en bitcoin för att låsa upp filer, med en bitcoin som för närvarande är värd $400.
Det är dock bra att nämna att användardata krypteras upp till tre dagar efter installation av paketet. Tills dess finns det ingen indikation på närvaron av ett virus och det kan endast detekteras i Activity Monitor, där en process märkt "kernel_service" körs vid infektion. För att upptäcka skadlig programvara, leta också efter följande filer på din Mac (om du hittar dem är din Mac förmodligen infekterad):
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
Apples reaktion tog inte lång tid och utvecklarens certifikat var redan ogiltigt. Så när användaren nu vill köra det infekterade installationsprogrammet kommer han att bli starkt varnad om den möjliga risken. Antivirussystemet XProtect har också uppdaterats. Han reagerade också på hotet Transmissions webbplats, där en varning postades om behovet av att uppdatera torrentklienten till version 2.92, vilket åtgärdar problemet och tar bort skadlig programvara från OS X. Det skadliga installationsprogrammet var dock fortfarande tillgängligt i nästan 48 timmar, från 4 till 5 mars.
För användare som tänkte lösa detta problem genom att återställa data via Time Machine är de dåliga nyheterna det faktum att KeRanger, som ransomwaren kallas, även attackerar säkerhetskopierade filer. Med detta sagt bör användare som installerade det felande installationsprogrammet räddas genom att installera den senaste versionen av Transmission från projektets hemsida.
De som uppdaterade till 2.90 via applikationen är inte i riskzonen...
De som suger genom torrents förtjänar inget annat än ransomware...
vaffanculo
Och återigen det dumma fördömandet med en smäll :(
Trodde du att torrentprotokollet kan användas och även används för att distribuera sw?
Hmmm, när jag laddar ner en Linux-distribution är det bäst via Torrent, vilket är vad det givna protokollet utvecklades för i första hand, att det missbrukas är en annan sak...