Allarme Cryptovirus per la prima volta su OS X, ecco come difendersi da KeRanger

La versione 2.90 dell'app Transmission (client BitTorrent), per OS X si fa veicolo di diffusione del ransomware "KeRanger", un cryptovirus che rende inaccessibile l'hard disk chiedendo il pagamento di un riscatto per tornare in possesso dei dati. Primo caso noto di cryptovirus per Mac OS X.
di Salvatore Carrozzini pubblicata il 07 Marzo 2016, alle 09:02 nel canale AppleAppleMac OS X
Il fenomeno dei cryptovirus raggiunge, per la prima volta, anche la piattaforma Apple OS X e lo fa servendosi della versione 2.90 di Transmission, un client BitTorrent di recente pubblicazione, utilizzato per veicolare il ransomware "KeRanger". Le prime segnalazioni a riguardo si sono diffuse nel corso del week-end non mancando di creare un grande eco mediatico, trattandosi del primo cryptovirus noto diffuso per il sistema operativo OS X. Il principio di funzionamento di "KeRanger" è sostanzialmente quello dei cryptovirus, cosi come descritto nel precedente approfondimento: il software nocivo - installato attraverso l'applicazione infetta - provvede a crittografare l'hard disk dell'utente tre giorni dopo l'installazione e chiede all'utente il pagamento di circa 400 dollari in bitcoin per rientrare il possesso dei propri dati.
Il caso della diffusione del primo cryptovirus di OS X, fortunatamente è stato prontamente affrontato sia dagli sviluppatori di Transmission, sia dagli esperti di sicurezza di Palo Alto Networks, sia, da ultimo, dalla casa di Cupertino. I primi hanno rilasciato la versione 2.91 di Transmission che rimuove attivamente i file del malware "KeRanger" dai Mac infettati, mentre i secondi hanno illustrato la procedura per proteggersi che si riporta per completezza. Nello specifico, stando a quanto riporta Palo Alto Networks: chi ha scaricato Transmission dal sito web ufficiale dopo le 11:00 am PST del 4 marzo (ore 8:00pm in Italia) e prima delle 7:00 pm PST (ore 4:00am in Italia) del 5 marzo (del 6 marzo in Italia) potrebbe essere stato infettato KeRanger. In tal caso è consigliabile seguire la precedente procedura:
- Avviare il finder o il terminale e verificare se esistono i file: /Applications/Transmission.app/Contents/Resources/ General.rtf o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
- Se esiste una delle due versioni del file, allora la versione di Transmission è infetta ed è consigliabile disinstallarla
- Avviare "Monitoraggio attività" preinstallato in OS X e controllare se è in esecuzione il processo "kernel_service". Se è attivo, controllare il processo (cmd+i), selezionare "Porte e file aperti" e verificare se esiste un file denominato "/Users//Library/kernel_service". Se presente, si tratta del processo principale di KeRanger. E' consigliabile terminarlo, forzando l'uscita
- Successivamente si dovrà verificare se nella directory ~/Library esistono i file “.kernel_pid”, “.kernel_time”, “.kernel_complete” o “kernel_service”. Se esistenti, è opportuno rimuoverli.
L'emergenza Cryptovirus, nell'immediato, è arginata, ma il segnale resta preoccupante, soprattutto alla luce dell'analisi compiuta da Palo Alto Networks che evidenzia ulteriori possibili forme di attacco poste in essere tramite KeRanger, tuttora in sviluppo. Gli esperti di sicurezza, ad esempio, fanno riferimento all'intervento del cryptovirus sui file di backup di Time Machine, rendendone impossibile il recupero da parte dell'utente senza pagare un "riscatto". Si precisa che di tale forma di attacco non si hanno al momento segnalazioni specifiche. Tempi duri anche su OS X quindi, anch'essa esposta alle più recenti e nocive forme di attacco informatico.
21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infobeh forse 10 anni fa
Evidentemente i ransomware sono decisamente remunerativi.
Però devi usarlo su un disco separato e rimosso alla fine del backup.
Però devi usarlo su un disco separato e rimosso alla fine del backup.
Anche un hd di rete o comunque collegato dovrebbe andare bene, dato che TM ha una password diversa da quella dell'utente
Sono pochi ma buoni ..
Hanno $$$$$$ da buttare !!
Ps casomai ma come si fa a rilasciare un sw e non accorgersi che contiene un Malwere?
beh forse 10 anni fa
Sono al 5,6% a livello globale ....
Hanno $$$$$$ da buttare !!
Ps casomai ma come si fa a rilasciare un sw e non accorgersi che contiene un. Malwere?
Infatti... La falla nella sicurezza è proprio li... Nessuno del team di Transmission ha controllato il codice sorgente e nessuno ha controllato il server da dove viene distribuito per il download. E' la cosa più inquietante!! Perché qui non stiamo parlando di software piratato/craccato, ma di versioni originali.
La stessa cosa che è capitata con la distro Mint di Linux, la 17.3 dei primi di Febbraio, che incorporava una backdoor per DDOS.
La stessa cosa che è capitata con la distro Mint di Linux, la 17.3 dei primi di Febbraio, che incorporava una backdoor per DDOS.
I codici sorgenti non centrano niente né per mint né per transmission... sono stati semplicemente rimpiazzati gli installer già compilati, sul server per transmission e solo il link per mint (puntava ad un sito esterno)
Anche controllando 200 volte il codice sorgente non ci avresti trovato nulla
Hanno $$$$$$ da buttare !!
Ps casomai ma come si fa a rilasciare un sw e non accorgersi che contiene un Malwere?
Ma come si fa ad affermare che chi possiede Apple/Mac ha a prescindere soldi da buttare??????
Eh calma calma!
Ok, mac os è solo una misera fettina della torta.. ma cominciamo a dire che è una fettina tutta intera che non ha acchiappato nessuno.. e diciamo anche che sei l'unico lupo nella vallata ed il gregge non si aspetta un attacco..
vedi bene che se solo acchiappi il 2% dei riscatti chiesti il tempo perso per fare il malaware è altro che ben speso.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".