Allarme Cryptovirus per la prima volta su OS X, ecco come difendersi da KeRanger

Allarme Cryptovirus per la prima volta su OS X, ecco come difendersi da KeRanger

La versione 2.90 dell'app Transmission (client BitTorrent), per OS X si fa veicolo di diffusione del ransomware "KeRanger", un cryptovirus che rende inaccessibile l'hard disk chiedendo il pagamento di un riscatto per tornare in possesso dei dati. Primo caso noto di cryptovirus per Mac OS X.

di pubblicata il , alle 09:02 nel canale Apple
AppleMac OS X
 

Il fenomeno dei cryptovirus raggiunge, per la prima volta, anche la piattaforma Apple OS X e lo fa servendosi della versione 2.90 di Transmission, un client BitTorrent di recente pubblicazione, utilizzato per veicolare il ransomware "KeRanger". Le prime segnalazioni a riguardo si sono diffuse nel corso del week-end non mancando di creare un grande eco mediatico, trattandosi del primo cryptovirus noto diffuso per il sistema operativo OS X. Il principio di funzionamento di "KeRanger" è sostanzialmente quello dei cryptovirus, cosi come descritto nel precedente approfondimento: il software nocivo - installato attraverso l'applicazione infetta - provvede a crittografare l'hard disk dell'utente tre giorni dopo l'installazione e chiede all'utente il pagamento di circa 400 dollari in bitcoin per rientrare il possesso dei propri dati. 

Il caso della diffusione del primo cryptovirus di OS X, fortunatamente è stato prontamente affrontato sia dagli sviluppatori di Transmission, sia dagli esperti di sicurezza di Palo Alto Networks, sia, da ultimo, dalla casa di Cupertino. I primi hanno rilasciato la versione 2.91 di Transmission che rimuove attivamente i file del malware "KeRanger" dai Mac infettati, mentre i secondi hanno illustrato la procedura per proteggersi che si riporta per completezza. Nello specifico, stando a quanto riporta Palo Alto Networks: chi ha scaricato Transmission dal sito web ufficiale dopo le 11:00 am PST del 4 marzo (ore 8:00pm in Italia) e prima delle 7:00 pm PST (ore 4:00am in Italia) del 5 marzo (del 6 marzo in Italia) potrebbe essere stato infettato KeRanger. In tal caso è consigliabile seguire la precedente procedura: 

  • Avviare il finder o il terminale e verificare se esistono i file: /Applications/Transmission.app/Contents/Resources/ General.rtf o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf 
  • Se esiste una delle due versioni del file, allora la versione di Transmission è infetta ed è consigliabile disinstallarla
  • Avviare "Monitoraggio attività" preinstallato in OS X e controllare se è in esecuzione il processo "kernel_service". Se è attivo, controllare il processo (cmd+i), selezionare "Porte e file aperti" e verificare se esiste un file denominato "/Users//Library/kernel_service". Se presente, si tratta del processo principale di KeRanger. E' consigliabile terminarlo, forzando l'uscita
  • Successivamente si dovrà verificare se nella directory ~/Library esistono i file “.kernel_pid”, “.kernel_time”, “.kernel_complete” o “kernel_service”. Se esistenti, è opportuno rimuoverli.
Anche Apple è intervenuta rapidamente per arginare la diffusione di "KeRanger", in primo luogo revocando il certificato di installazione della versione infetta di Transmission, in secondo luogo aggiornando Xprotect, il sistema di sicurezza nativo di OS X. Qualora l'utente provi ad installare la versione infetta dell'applicazione, una finestra di dialogo segnalerà i rischi derivanti dall'installazione. 

L'emergenza Cryptovirus, nell'immediato, è arginata, ma il segnale resta preoccupante, soprattutto alla luce dell'analisi compiuta da Palo Alto Networks che evidenzia ulteriori possibili forme di attacco poste in essere tramite KeRangertuttora in sviluppo. Gli esperti di sicurezza, ad esempio, fanno riferimento all'intervento del cryptovirus sui file di backup di Time Machine, rendendone impossibile il recupero da parte dell'utente senza pagare un "riscatto". Si precisa che di tale forma di attacco non si hanno al momento segnalazioni specifiche. Tempi duri anche su OS X quindi, anch'essa esposta alle più recenti e nocive forme di attacco informatico. 

21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
devilred07 Marzo 2016, 09:36 #1
ma chi ci perde tempo a creare virus per osx, ha una quota di mercato irrisoria. bah!
Nenco07 Marzo 2016, 09:39 #2
Dovrebbero essere pochi (ma purtroppo non è cosi) gli utenti mac con time machine disabilitato o inattivo

Originariamente inviato da: devilred
ma chi ci perde tempo a creare virus per osx, ha una quota di mercato irrisoria. bah!


beh forse 10 anni fa
danieleg.dg07 Marzo 2016, 09:43 #3
Originariamente inviato da: devilred
ma chi ci perde tempo a creare virus per osx, ha una quota di mercato irrisoria. bah!


Evidentemente i ransomware sono decisamente remunerativi.

Originariamente inviato da: Nenco
Dovrebbero essere pochi (ma purtroppo non è cosi) gli utenti mac con time machine disabilitato o inattivo


Però devi usarlo su un disco separato e rimosso alla fine del backup.
Nenco07 Marzo 2016, 09:45 #4
Originariamente inviato da: danieleg.dg
Evidentemente i ransomware sono decisamente remunerativi.



Però devi usarlo su un disco separato e rimosso alla fine del backup.


Anche un hd di rete o comunque collegato dovrebbe andare bene, dato che TM ha una password diversa da quella dell'utente
fraussantin07 Marzo 2016, 09:51 #5
Originariamente inviato da: devilred
ma chi ci perde tempo a creare virus per osx, ha una quota di mercato irrisoria. bah!


Sono pochi ma buoni ..


Hanno $$$$$$ da buttare !!

Ps casomai ma come si fa a rilasciare un sw e non accorgersi che contiene un Malwere?
Apocalysse07 Marzo 2016, 09:59 #6
Originariamente inviato da: Nenco

beh forse 10 anni fa


Sono al 5,6% a livello globale ....
AlexSwitch07 Marzo 2016, 10:02 #7
Originariamente inviato da: fraussantin
Sono pochi ma buoni ..


Hanno $$$$$$ da buttare !!

Ps casomai ma come si fa a rilasciare un sw e non accorgersi che contiene un. Malwere?


Infatti... La falla nella sicurezza è proprio li... Nessuno del team di Transmission ha controllato il codice sorgente e nessuno ha controllato il server da dove viene distribuito per il download. E' la cosa più inquietante!! Perché qui non stiamo parlando di software piratato/craccato, ma di versioni originali.
La stessa cosa che è capitata con la distro Mint di Linux, la 17.3 dei primi di Febbraio, che incorporava una backdoor per DDOS.
andrew0407 Marzo 2016, 10:21 #8
Originariamente inviato da: AlexSwitch
Infatti... La falla nella sicurezza è proprio li... Nessuno del team di Transmission ha controllato il codice sorgente e nessuno ha controllato il server da dove viene distribuito per il download. E' la cosa più inquietante!! Perché qui non stiamo parlando di software piratato/craccato, ma di versioni originali.
La stessa cosa che è capitata con la distro Mint di Linux, la 17.3 dei primi di Febbraio, che incorporava una backdoor per DDOS.


I codici sorgenti non centrano niente né per mint né per transmission... sono stati semplicemente rimpiazzati gli installer già compilati, sul server per transmission e solo il link per mint (puntava ad un sito esterno)

Anche controllando 200 volte il codice sorgente non ci avresti trovato nulla
M4R1|<07 Marzo 2016, 10:49 #9
Originariamente inviato da: fraussantin
Sono pochi ma buoni ..


Hanno $$$$$$ da buttare !!

Ps casomai ma come si fa a rilasciare un sw e non accorgersi che contiene un Malwere?


Ma come si fa ad affermare che chi possiede Apple/Mac ha a prescindere soldi da buttare??????
demon7707 Marzo 2016, 11:03 #10
Originariamente inviato da: devilred
ma chi ci perde tempo a creare virus per osx, ha una quota di mercato irrisoria. bah!


Eh calma calma!
Ok, mac os è solo una misera fettina della torta.. ma cominciamo a dire che è una fettina tutta intera che non ha acchiappato nessuno.. e diciamo anche che sei l'unico lupo nella vallata ed il gregge non si aspetta un attacco..

vedi bene che se solo acchiappi il 2% dei riscatti chiesti il tempo perso per fare il malaware è altro che ben speso.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^