Apple dobiva svojo prvo dozo Ransomware kot 6.500 uporabnikov hit z virusom šifriranja

Če ste bili v nedeljo eden izmed nesrečnikov, ki ste prenesli in namestili novo različico programa Transmission, to je program za nalaganje torrentov, danes je vaš dan obračunavanja: vaše informacije in vaš dostop do stebra sebe, se lahko postavijo za odkupnino.

Uporabniki Mac-a še nikoli niso bili izpostavljeni popolnoma spoznanemu ransomware-ju in iz dobrih razlogov: Appleovi izdelki so bili relativno trdni proti virusom. Toda ta monter je prikrival zlonamerni program, KeRanger, in mu dal tridnevno obdobje mirovanja. Posredovanje je ena izmed najbolj priljubljenih, poenostavljenih in intuitivnih BitTorrent strank in uporabnikom omogoča zelo enostavno nalaganje torrentov, ne glede na to, ali gre za torrente albumov, programov, filmov ali itd.

Tisti usodni tretji dan - ki se zgodi danes - tisti, ki so namestili Transmission različico 2.90 in uživali v treh prazničnih dneh hudourniške dobrote, so bili ob 14.00 ujeti neusmiljeno odkupnino. Vzhodni čas: KeRanger je šifriral vsebino Macov nesrečnikov in zahteval 1 bitcoin - enakovreden, danes, približno 409 $ - za dešifriranje podatkov. Z več kot 300 različnimi vrstami razširitev datotek, ki so šifrirane, je bilo zelo malo.

John Clay pri Transmissionu je dal Inverse popolnejša zgodba:

»V naslednjih nekaj dneh bomo objavili obvestilo z več informacijami, vendar je najbolje, da smo na tej točki ugotovili, da smo prenesli približno 6.500 okuženih posnetkov diskov (od več deset tisoč zakonitih prenosov te različice pred tem). Predpostavka je, da mnogi niso mogli zagnati okužene datoteke, ker je Apple hitro preklical potrdilo, ki se uporablja za podpisovanje binarnih datotek, kot tudi posodabljanje definicij XProtect. Čakamo na potrditev od Apple o tem.

»Mehanizem samodejnega posodabljanja Sparkle ni bil ogrožen in se ne bi posodobil v okuženi binarni sistem, ker je bil hash drugačen. Nadalje, naš predpomnilnik tretjih oseb (CacheFly) ni bil ogrožen, kar pomeni, da je veliko spletnih strani s posodobitvami programske opreme povezano z (MacUpdate et al). Potrdili smo tudi, da se lahko uporabnik z okuženo različico uspešno samodejno posodobi do legitimnih izdaj 2.91 ali 2.92, pri čemer 2.92 aktivno poskuša odstraniti zlonamerno programsko opremo."

Če uporabljate Posredovanje, preverite, ali je bil vaš računalnik okužen:

• Odprite vgrajen Nadzor aktivnosti v aplikacijah / pripomočkih.
• Pod zavihkom »Disk« poiščite »kernel_service«. (“Kernel_task” je neškodljiv in je bistven del OSX; če vidite, da se ta proces izvaja, ne paničite.)

Tukaj si lahko ogledate odkupnino, ki je čudno vljudna glede na nedvomno žalostne duše njenih ustvarjalcev. Začne se, "Vaš računalnik je bil zaklenjen in vse vaše datoteke sic so šifrirane z 2048-bitnim šifriranjem RSA."

Transmission se je hitro odzval in posodobil svoj namestitveni program, da bi izključil in domnevno odstranil KeRanger iz okuženih računalnikov.

Eden od raziskovalcev, ki so odkrili ransomware - Claud Xiao - je dejavno širil besedo:

Ljudje, to je edini čas, ko zahtevam vašo pomoč za širjenje novic. #KeRanger je zasnovan tako, da začne šifriranje naslednji ponedeljek zjutraj!

- Claud Xiao (@claud_xiao) 6. marec 2016

#Transmission je samo potisnil 2.92 posodobitev, ki vključuje kodo za odkrivanje in odstranjevanje ransomwarea #KeRanger. Posodobite ga pred ponedeljkom 11:00.

- Claud Xiao (@claud_xiao) 6. marec 2016

Prav tako je opozoril vse, ki posodabljajo program:

Apple se je odzval tudi s tem, da je odstranil tisto verzijo certifikacijskega programa za namestitev, ki je dovoljevala ransomware, da se izogne ​​običajno strogim programom GateKeeper in XProtect, ki Macove varujeta.

Palo Alto Networks je izpostavil kršitev varnosti. Za celotno poročilo in vodnik za samozaščito si poglejte tukaj.