Michal Marek Mac vôbec prvýkrát dorazil funkčný „vírus“ typu ransomware. Táto nákaza funguje tak, že zašifruje dáta užívateľa a ten následne pre ich odomknutie musí útočníkom zaplatiť „výkupné“, aby svoje dáta získal späť. K platbe väčšinou dochádza v bitcoinoch, ktoré sú pre útočníkov zárukou nevysledovateľnosti. Zdrojom nákazy bol open-sourcový klient pre bittorentovú sieť Prevodovka vo verzii 2.90.
Nepríjemnou skutočnosťou je, že škodlivý kus kódu nazvaný OSX.KeRanger.A sa dostal priamo do oficiálneho inštalačného balíka. Inštalátor mal teda svoj podpísaný vývojársky certifikát a podarilo sa mu tak obísť aj Gatekeeper, inokedy spoľahlivú systémovú ochranu OS X.
Potom už nič nemohlo zabrániť vytvoreniu potrebných súborov, uzamknutiu súborov používateľa a prostredníctvom siete Tor tiež nadviazaniu komunikácie medzi nakazeným počítačom a servermi útočníkov. Na Tor boli používatelia tiež presmerovaní, aby tu zaplatili poplatok jedného bitcoinu za odomknutie súborov, pričom jeden bitcoin má v súčasnej dobe hodnotu 400 dolárov (10 tisíc korún).
Dobré je ale spomenúť, že k zašifrovaniu dát používateľa dochádza vždy až tri dni po inštalácii balíčka. Dovtedy prítomnosti vírusu nič nenasvedčuje a odhaliť ho možno jedine v Monitore aktivity, kde v prípade nákazy prebieha proces s označením „kernel_service“. Pre odhalenie malwaru hľadajte na svojom Macu aj nasledujúce súbory (ak ich nájdete, pravdepodobne je váš Mac nakazený):
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
Reakcia Applu na seba nenechala dlho čakať a vývojársky certifikát bol už zneplatnený. Keď teda teraz bude chcieť používateľ nakazený inštalátor spustiť, bude dôrazne varovaný pred možným rizikom. Zaktualizovaný bol tiež antivírusový systém XProtect. Na hrozbu zareagoval aj web nástroje Transmission, Kde bolo zverejnené upozornenie na nutnú aktualizáciu torrentového klienta na verziu 2.92, ktorá problém rieši a malware z OS X odstraňuje. Škodlivý inštalátor bol ale aj tak k dispozícii takmer 48 hodín, a to od 4. do 5. marca.
Pre užívateľov, ktorých napadlo tento problém riešiť obnovou dát cez Time Machine, je zlou správou fakt, že KeRanger, ako sa ransomware volá, útočí aj práve na zálohované súbory. Ako už bolo povedané, používateľov, ktorí si chybný inštalátor nainštalovali, by mala zachrániť inštalácia najnovšej verzie Transmission z webovej stránky projektu.
Tí, ktorí aktualizovali na 2.90 cez aplikáciu nie sú v ohrození…
Kto sasa cez torrenty si nič iné ako ransomware nezaslúži…
vaffanculo
A zase to hlúpe odsudzovanie šmahom :(
Napadlo vás, že torrent protokol je možné používať a tiež je používaný na distribúciu sw?
Hmmm, keď sťahujem linuxovú distribúciu, tak najlepšie cez Torrent, pre čo bol daný protokol aj vyvinutý v prvom rade, to že je zneužívaný je vec iná…